序 一 


如 何 成 为 一 名 优秀 的 运 维 工 程 师 ? 利用 哪些 工具 和 手段 去 协助 自己 ? 这 些 问题 的 解答 不 仅 适 用 于 专业 人 士 ， 也 适用 于 初学 者 ， 而 本 书 就 是 一 本 技术 人 员 必 备 的 良 书 。 本 书面 向 的 读者 是 那些 对 技术 有 着 
执著 热情 的 运 维 和 开发 人 员 ， 书 中 对 如 何 成 为 一 名 优秀 的 运 维 工程 师 ， 如 何 使 用 自动 化 工具 Puppet， 以 及 Puppet 原 理 、 部 署 等 方面 都 做 了 详细 介绍 。 我 相信 这 本 书 能 给 所 有 初 入 技术 领域 的 人 一 个 整体 杠 
架 ， 也 能 给 专业 的 技术 人 员 一 些 思路 和 细节 上 的 指引 。 


我 们 周围 有 很 多 的 运 维 人 员 都 在 路 踏 : 该 如 何 成 为 一 名 优秀 的 运 维 工 程 师 ” 放 在 七 八 年 前 ， 在 那个 互联 网 并 未 发 展 到 如 今 这 般 庞 大 的 时 代 ， 在 一 切 仅仅 靠 人 脑 就 能 实现 运 维 的 机 器 规模 下 ， 在 靠 简单 的 
自动 化 程序 就 能 完成 运 维 的 状态 下 ， 运 维 工程 师 只 要 维护 好 server， 保 障 应 用 稳定 、 不 出 故障 ， 也 许 就 能 达到 一 名 出 色 的 运 维 工 程 师 的 标准 。 但 是 现在 ， 在 这 个 大 数据 的 时 代 ， 原 有 的 标准 已 经 无 法 满足 需 
求 。 一 名 出 色 的 运 维 工 程 师 除了 做 到 维护 系统 稳定 和 不 出 故障 外 ， 还 要 参与 系统 架构 的 设计 ， 做 到 大 规模 机 器 下 的 自动 化 安装 、 部 署 ， 高 并 发 、 高 压力 下 的 性 能 调 优 ， 符 合 诸多 因素 ， 才 能 成 为 一 名 合格 的 
运 维 工程 师 。 


本 书 不 仅 内 容 详尽 ， 而 且 结 构 清晰 ， 使 用 了 大 量 实例 进行 详细 的 表述 和 分 析 ， 便 于 读者 理解 及 查阅 ， 具 有 很 强 的 实用 性 和 指导 性 ， 扩 展 了 读者 对 运 维 概念 的 认 知 。 


高 国 新 阿里 巴巴 技术 保障 - 云 PE、 技 术 专家 


序 二 


相传 ， 在 很 久 很 久 以 前 ， 遥 远 的 西方 国度 中 ， 一 家 叫 雅 虎 的 网 站 ， 在 普天 下 的 系统 工程 师 心中 埋 下 了 一 颗 神 奇 的 种 子 ， 从 此 变 得 一 发 不 可 收拾 。 围 绕 着 这 颗 种 子 ， 总 会 有 讲 不 完 的 传奇 故事 ， 令 无 数 人 
想 一 宕 究竟 ; 而 它 ， 也 承载 了 数 不 清 的 美好 收 慢 。 这 颗 种 子 ， 就 是 自动 化 运 维 ， 一 个 永恒 的 话题 。 


回顾 过 去 10 年 的 互联 网 从 业 历 程 ， 我 有 幸 亲 眼见 证 了 自动 化 运 维 在 中 国 所 发 生 的 一 系列 深刻 变化 ， 但 同时 在 这 方面 也 深 存 遗憾 。 遗 憾 源 于 自己 曾 亲 手 规划 过 一 套 自动 化 运 维 的 美好 蓝图 ， 但 最 终 变 为 黄 
梁 一 梦 。 坦 白地 讲 ， 在 自动 化 运 维 方面 ， 我 的 失败 教训 远大 于 成 功 经 验 ， 今 天 在 这 里 写 序 ， 心 中 难免 有 一 丝 不 安 。 尽 管 时 隔 多 年 ， 但 对 那 段 失败 经 历 的 复 盘 和 自我 反思 ， 在 我 心中 从 未 停止 过 。 以 今天 的 视 
角 看 ， 我 认为 自动 化 运 维 涉 及 “期 望 管理 、 资 源 整合 、 冲 突 管理 、 工 具 选 择 、 风 险 管控 、 思 维 理念 的 塑造 ”等 很 多 方面 ， 甚 至 还 需要 充分 理解 公司 的 战略 规划 。 


就 技术 层面 而 言 ， 我 想 结 合 本 书 要 讲 的 Puppet， 谈 一 下 自己 对 “ 运 维 工 具 选 择 ” 的 理解 。 自 Puppet 诞 生 之 日 起 ， 它 就 如 同 夜空 中 最 闪 亮 的 那 颗 星星 一 样 ， 一 举 超越 了 那个 叫 Cfengine 的 “者 前 辈 ”， 
引起 了 无 数 系统 工程 师 的 注目 和 追随 。 直 到 今天 ， 它 的 影响 力 和 全 球 部 署 量 依然 很 大 。 但 同时 有 关 Puppet 是 否 过 时 的 讨论 也 悄然 兴起 。 在 我 看 来 ， 一 方面 ， 世 间 万 物 都 有 各 自 的 生命 周期 ，Puppet 当 然 也 
不 例外 。 与 其 讨论 它 是 否 过 时 ， 它 何 时 会 过 时 ， 倒 不 如 全 面 而 深入 地 理解 Puppet 的 思想 精 丹 ， 深 入 思考 它 在 未 来 可 能 会 面临 的 挑战 ， 以 及 Puppet 本 身 在 版 本 迭代 过 程 中 是 如 何 应 对 这 些 挑战 的 。 另 一 方 
面 ， 与 其 纠结 于 目前 是 该 用 Puppet 还 是 直接 上 线 SaltStack， 倒 不 如 深入 思考 : 我 们 的 自动 化 运 维 框架 如 何 能 更 快速 而 低 风 险 地 应 对 上 层 工具 可 能 发 生 的 变化 。 


而 本 书 的 价值 恰恰 在 于 ， 不 仅 用 全 景 式 的 视角 对 Puppet 的 使 用 进行 了 翔实 的 介绍 ， 更 有 对 细节 的 深度 解读 。 透 过 这 些 深度 解读 ， 读 者 朋友 们 可 以 逐步 悟 出 Puppet 的 思想 精髓 ， 进 而 对 自动 化 运 维 有 更 
深 的 理解 。 书 中 所 配 的 具体 案例 ， 都 是 作者 多 年 来 在 多 家 大 型 互联 网 公司 关键 岗位 工作 所 得 精华 之 总 结 ， 具 有 非常 强 的 权威 性 和 实 操 性 。 


除 对 Puppet 的 讲解 外 ， 我 本 人 也 非常 喜欢 本 书 的 第 1 章 。 这 与 我 前 文 提 到 的 自动 化 运 维 所 涉及 的 “思维 理念 的 塑造 ”不 谋 而 合 。 相 信 大 家 读 完 这 本 书后 ， 一 定 会 觉得 物 有 所 值 ! 


李 晓 栋 ”新 浪 网 研发 中 心 高 级 技术 经 理 


为 什么 要 写 这 本 书 


早 在 2009 年 的 时 候 ， 笔 者 就 梦想 能 出 版 一 本 属于 自己 的 书 ， 虽 和 然 那 时 用 业余 时 间 写 过 一 本 ， 但 并 不 专业 也 没有 正式 发 行 。 时 隔 5 年 ， 随 着 工作 经 验 的 积累 和 知识 的 增长 ， 经 过 了 2 年 多 的 构思 ， 编 写 的 这 
本 书 终于 面市 了 ， 这 算是 圆 了 笔者 一 个 小 小 的 梦想 。 笔 者 从 事 互联 网 行业 已 有 7 年 左右 的 时 间 了 ， 与 传统 行业 相 比 ，7 年 的 时 间 仅 能 算是 初出 茅 户 ， 但 对 于 年 轻 的 互联 网 行业 来 说 不 算 短 了 ， 因 为 互联 网 在 
1995 年 才 正 式 进入 中 国 ， 目 前 还 处 于 “花样 年 华 ” 阶 段 。 


2008 年 ~2011 年 5 月 ， 笔 者 就 职 于 新 浪 网 技术 中 国有 限 公司 。 当 时 笔者 所 在 的 团队 主要 负责 登录 系统 的 开发 与 运 维 ， 同 时 还 负责 包括 好 友 系 统 、 在 线 系统 和 消息 系统 的 维护 ， 所 有 服务 器 加 在 一 起 有 100 
多 台 。 除 了 不 用 到 机 房 上 线 服务 器 与 安装 系统 外 ， 其 他 的 所 有 工作 都 由 笔者 当时 所 在 的 团队 共同 完成 。 那 时 都 是 由 开发 工程 师 兼 运 维 工程 师 来 完成 这 100 多 台 机 器 的 维护 、 软 件 安装 、 程 序 部 署 、 架 构 部 
署 、 系 统 调 优 与 监控 等 工作 。 这 样 的 工作 方式 有 优点 也 有 缺点 。 优 点 是 一 名 初出 茅 庐 的 职场 新 人 (笔者 ) 就 可 以 自己 建立 运 维 工 具 ， 构 建 系统 架构 和 部 署 系统 的 监控 ， 并 且 从 中 获取 更 多 的 知识 ， 迅 速成 
长 ; 缺点 是 团队 中 的 同事 都 有 自己 的 一 套 独立 的 小 工具 ， 团 队 中 的 工具 与 工具 之 间 不 能 继承 与 复 用 ， 每 次 系统 增加 新 功能 都 需要 重新 开发 工具 ， 浪 费 了 很 多 人 力 成 本 。 而 且 工具 本 身 不 够 自动 化 ， 很 多 环节 
需要 人 为 参与 。 那 时 笔者 就 在 思考 ， 是 否 能 有 一 种 工具 来 帮 我 们 串联 贯通 业务 ， 在 节约 人 力 成 本 的 同时 提供 个 性 定制 操作 呢 ? 


2011 年 6 月 至 今 ， 笔 者 就 职 于 腾讯 。 在 腾讯 工作 的 这 几 年 中 ， 笔 者 专职 从 事 运 维 与 运 维 工具 的 开发 等 工作 。 笔 者 将 目前 在 腾讯 的 运 维 经 历 划分 为 以 下 4 个 阶段 。 


“ 第 一 阶段 ， 统 一 化 : 即 操作 系统 发 行 版 本 都 是 统一 的 ， 服 务 器 硬件 也 采用 的 是 相同 型 号 、 相 同 配置 ， 从 根本 上 规避 了 差异 化 给 运 维 工作 带 来 的 麻烦 。 


“ 第 二 阶段 ， 基 础 化 : 从 系统 安装 、 上 线 、 服 务 部 署 、 测 试 、 监 控 到 后 续 维护 均 由 统一 的 系统 完成 。 


“ 第 三 阶段 ， 自 动 化 运 维 : 服务 器 软件 安装 和 更 新 ， 程 序 发 布 版 本 都 由 相应 工具 完成 ， 不 需要 人 为 参与 。 通 过 Web 化 与 图 形 化 的 展示 规避 了 服务 器 误 操作 的 风险 ， 提 高 了 系统 可 用 性 与 工作 效率 。 


: 第 四 阶段 ， 大 数据 挖掘 : 新 产品 上 线 需 要 多 少 台 服务 器 、 带 宽 和 流量 仍 处 于 不 好 估算 的 阶段 。 当 系统 上 线 后 ， 要 想 通过 海量 数据 发 现 产品 潜在 的 问题 、 获 悉 用 户 爱好 与 习惯 、 预 测 未 来 产品 走势 ， 就 
需要 我 们 了 解 与 掌握 相关 信息 ， 所 以 需要 通过 大 数据 的 分 析 ， 从 产品 海量 日 志 中 找到 有 价值 的 信息 ， 助 力 产品 更 好 地 发 展 。 


当 很 多 公司 的 运 维 还 处 于 第 二 与 第 三 阶段 时 ， 腾 讯 已 经 逐渐 从 第 三 阶段 步 入 第 四 阶段 。 但 在 这 4 个 阶段 中 ， 笔 者 觉得 第 三 阶段 是 一 个 非常 重要 的 阶段 ， 只 有 解放 了 人 力 才能 将 更 多 的 精力 投 到 大 数据 挖掘 
上 ， 以 助力 产品 发 展 。2011 年 下 半年 ， 笔 者 偶然 听 说 了 Puppet 配 置 管 理工 具 很 不 错 ， 并 从 官方 文档 上 了 解 到 ，Puppet 配 置 管理 工具 正 是 笔者 一 直 在 找寻 的 工具 。 它 安装 简单 ， 使 用 方便 ， 并 且 有 着 丰富 的 
文档 与 活跃 的 社区 ， 这 无 疑 降 低 了 初学 者 学 习 门 槛 。 所 以 在 对 Puppet 进 行 了 系统 的 了 解 与 学 习 之 后 ， 恰 好 赶 上 一 次 新 业务 上 线 ， 部 分 功能 需要 运营 系统 再 次 开发 支持 ， 笔 者 觉得 这 是 一 次 测试 、 使 用 
Puppet 的 好 机 会 ， 于 是 在 一 周 内 搭建 并 使 用 了 Puppet 配 置 管理 工具 。 测 试 表明 ， 在 无 需 人 力 参 与 开发 的 情况 下 ，Puppet 配 置 管理 工具 确实 节约 了 很 多 人 力 成 本 ， 提 高 了 效率 。2013 年 6 月 ， 笔 者 决定 把 学 


习 与 使 用 Puppet 配 置 管理 工具 的 过 程 和 心得 整理 成 文字 并 发 表 出 来 ， 以 让 更 多 的 计算 机 爱好 者 和 工作 者 了 解 并 使 用 这 款 软件 。 编 写本 书 的 过 程 也 是 再 次 学 习 Puppet 的 过 程 ，Puppet 并 不 只 是 配置 管理 工 
具 ， 它 的 设计 思想 与 软件 架构 ， 以 及 版 本 迁移 历程 都 值得 我 们 去 学 习 与 借鉴 。 笔 者 囊 心 希望 本 书 能 帮助 读者 更 快 地 掌握 Puppet 管 理 配置 工具 ， 并 将 其 应 用 到 实际 工作 中 ， 为 大 家 带 来 方便 。 


本 书 主要 内 容 


本 书 共 分 为 18 章 ，4 个 部 分 。 


第 一 部 分 ”基础 篇 (第 1~5 章 ) : 第 1 章 对 比 了 目前 常见 的 自动 化 运 维 工具 ， 并 介绍 了 目前 应 用 Puppet 的 公司 与 Puppet 发 展 前 景 ， 让 读者 了 解 为 什么 选择 Puppet，Puppet 与 其 他 运 维 工具 相对 而 言 有 
哪些 优势 ， 使 大 家 对 Puppet 有 个 基本 的 了 解 与 认识 。 第 2~ 5 章 主 要 介绍 Puppet 的 版 本 分 支 状 况 及 选择 ，Puppet 安 装 过 程 、 目 录 结 构 、 各 版 本 之 间 命 令 差异 如 何 解决 ，Puppet 配 置 文件 的 作用 等 。 基 础 篇 学 
完 后 ， 读 者 可 以 搭建 Puppet 环 境 并 掌握 基本 使 用 方法 。 


第 二 部 分 。 进 阶 篇 (第 6~9 章 ) : 主要 介绍 Puppet 核 心 编程 语言 、 资 源 、 模 板 应 用 与 Facter。 让 读者 能 够 在 搭建 的 基础 上 完全 玩 转 Puppet。 


第 三 部 分 高 级 篇 (第 10~15 章 ) : 主要 介绍 Puppet 的 一 些 高 级 功能 。 当 Puppet 不 能 满足 我 们 的 工作 需要 时 ， 如 何 做 二 次 开发 使 其 能 够 为 我 们 工作 所 用 ”大 规模 使 用 Puppet 时 ， 性 能 瓶颈 应 该 如 何 解 
决 ?如 何 管理 与 查询 差异 化 服务 器 信息 及 上 报 的 日 志 ? 海量 的 Agent 服 务 器 中 部 分 Agent 工 作 异 常 如 何 快速 定位 原因 ”这 些 都 是 在 Puppet 实 际 使 用 中 常常 会 遇 到 的 问题 ， 读 者 们 可 以 在 本 篇 中 找到 答案 。 


第 四 部 分 应 (第 16~18 章 ) : 这 几 章 会 以 案例 形式 介绍 Puppet 在 企业 环境 中 如 何 应 用 ， 在 方便 读者 记忆 的 同时 ， 拓 展 读者 的 思路 。 对 Puppet 的 了 解 和 使 用 达到 一 定 程度 后 如 果 读 者 想 偷懒 ， 还 
可 以 使 用 热心 网 友 分 享 的 、 已 经 写 好 的 Puppet 配 置 语言 ， 这 样 可 以 将 更 多 的 时 间 放 在 系统 优化 与 数据 挖掘 上 。 


本 书 特色 


“ 在 读本 书 前 并 不 要 求 读者 对 Puppet 配 置 管 理工 具有 一 定 使 用 经 验 或 者 编程 语言 的 背景 。 本 书 从 零 基 础 开始 介绍 Puppet 配 置 管 理工 具 以 及 其 管理 配置 语言 ， 通 过 由 浅 入 深 的 案例 让 读者 更 好 地 掌握 
Puppet。 


“ 本 书 在 写作 过 程 中 主要 参考 Puppet 两 个 稳定 的 版 本 分 支 文 档 ， 即 Puppet 2.7 (https://docs.puppetlabs.com/puppet/2.7/reference/) 和 Puppet 3.6 (https://docs.puppetlabs.com/puppet/3.6/reference/) 。 
“ 笔者 将 Puppet 引 入 工作 环境 ， 不仅 是 为 了 解 与 学 习 Puppet， 更 是 要 解决 工作 中 遇 到 的 实际 问题 。 书 中 案例 贴近 实际 工作 环境 ， 同 时 在 不 同 的 工作 场景 下 给 出 了 不 同 的 使 用 建议 供 读者 选择 。 


“ 本 书 不 仅 系 统 地 介绍 了 Puppet 配 置 管理 工具 ， 还 介绍 了 一 些 Puppet 辅 助 工 具 ， 如 PuppetDB、Marionette Collective、DNS 和 版 本 配置 工具 。 


“ 系统 管理 员 、 运 维 工程 师 、 网 络 管理 员 
“ 自动 化 运 维 工 具 爱 好 者 
“ 开源 软件 爱好 者 


对 读者 的 建议 与 意见 反馈 


本 书 出 版 时 Puppet 版 本 已 经 升级 到 了 Puppet 3.6， 但 本 书 案例 主要 使 用 的 是 Puppet 2.7 版 本 ， 需 要 读者 注意 的 是 两 个 版 本 间 小 部 分 命令 的 使 用 可 能 会 有 所 不 同 ， 但 差异 并 不 大 ， 并 不 影响 我 们 在 版 本 
过 洲 期 间 的 使 用 。 如 果 读者 刚 接触 Puppet， 对 Puppet 还 不 是 很 熟悉 ， 笔 者 建议 温 故 而 知 新 ， 先 从 Puppet 2.7 版 本 入 手 再 逐渐 升级 到 Puppet 3.6 版 本 上 ， 这 样 才能 更 好 地 掌握 Puppet。 另 外 ， 如 果 读 者 已 经 
使 用 过 Puppet， 并 希望 通过 本 书 获取 更 多 的 个 性 化 的 内 容 并 应 用 到 自己 的 工作 中 ， 笔 者 建议 通过 二 次 开发 来 改造 Puppet， 从 而 为 我 们 的 工作 所 用 。 因 为 Puppet 是 一 款 开 源 软 件 ， 它 并 不 能 解决 我 们 工作 中 
遇 到 的 所 有 问题 ， 但 它 的 优势 是 提供 了 很 多 API 和 程序 源码 供 我 们 更 方便 地 改造 它 。 


笔者 在 编写 本 书 的 过 程 中 也 遇 到 了 很 多 困难 ， 并 通过 网 上 查找 、 与 朋友 交流 、 测 试 和 自己 理解 一 一 克服 。 由 于 时 间 仓促 ， 本 书 依然 难免 会 有 错误 或 不 准确 的 地 方 ， 希 望 读者 能 够 指正 ， 以 求 一 同学 习 进 
步 。 如 果 读者 对 本 书 有 任何 意见 或 发 现任 何 错误 ， 请 和 笔者 联系 ， 可 以 将 意见 发 送 到 邮箱 7717060@sina.com， 标 题 注 肯 “《Puppet 权 威 指南 》” ， 笔 者 将 会 认真 查看 大 家 的 批评 和 建议 。 同 时 笔者 也 开通 
了 个 人 博客 www.puppeter.com， 本 书 的 勘误 、 代 码 下 载 与 后 续 更 新 都 会 在 个 人 博客 上 与 大 家 分 享 。 另 外 本 书 涉及 的 源 代码 也 可 到 华章 公司 官网 (www.hzbook.com) 下 载 。 


致谢 


在 本 书 出 版 的 过 程 中 得 到 了 很 多 朋友 与 家 人 的 支持 。 


首先 感 澳 华章 出 版 社 的 孙 海 亮 与 杨 福 川 。 在 本 书 编写 的 一 年 中 ,编辑 孙 海 亮 耐 心地 审阅 并 指出 了 笔者 的 很 多 错误 与 不 足 ， 同 时 给 出 了 很 多 专业 性 的 建议 ， 他 是 一 位 非常 称职 的 编辑 ， 值 得 敬佩 。 杨 福 川 
给 予 了 笔者 更 多 的 鼓励 与 资源 的 支持 。 


特别 感谢 我 的 朋友 与 同事 赵 建 春 、 梁 定安 、 李 晓 栋 、 王 炜 煜 、 于 杰 英 和 高 国 新 对 本 书 的 建议 与 支持 。 


感谢 公司 的 同事 陶 凉 然 、 吴 伟 彬 、 黄 浩 宇 、 黄 伟 俊 、 张 兰 、 黄 兆 鹏 、 李 平安 、 赵 子 青 、 李 金榜 、 王 秀才 、 杨 波 、 曹 凤 龙 、 聂 冤 、 刘 华 、 张 志 谭 、 余 东 良 和 孙 凯 荣 在 软件 环境 、 使 用 与 测试 方面 对 本 书 的 


还 要 感谢 刘 志 宇 、 吴 城 、 汪 洋 、 周 荣 茂 ， 他 们 在 本 书后 期 推广 方面 给 出 了 很 多 建议 与 帮助 。 


最 后 感谢 我 的 老婆 ， 是 她 默默 地 在 后 方 支持 着 我 ， 促 使 我 最 终 能 完成 本 书 。 
王 冬 生 


于 深圳 南山 科技 园 


第 一 部 分 “基础 篇 


第 1 章 ” 运 维 工程 师 的 利器 一 一 自动 化 运 维 工具 


第 2 章 ”Puppet 介 绍 


第 3 章 ，Puppet 及 相关 工具 的 配置 与 安装 
第 4 章 ，Puppet 目 录 结构 、 配 置 文件 和 命令 详解 


第 5 章 ”通过 Puppet 构 建 主机 


第 1 章 ” 运 维 工程 师 的 利器 一 一 自动 化 运 维 工具 


随 着 网 络 云 时 代 和 大 数据 时 代 的 到 来 ， 运 维 工 程 师 负 责 管理 的 服务 器 数量 也 成 倍 地 增长 。 如 何 管理 好 这 些 服务 器 为 云 时 代 和 大 数据 时 代 保 驾 护 航 ， 是 摆 在 运 维 工 程 师 面前 的 一 道 难题 。 而 解决 这 道 难题 
就 需要 运 维 工程 师 对 自动 化 运 维 工 具 的 掌握 达到 一 定 的 程度 。 笔 者 希望 通过 本 章 抛砖引玉 ， 结 合 自己 的 经 验 介绍 多 年 来 使 用 自动 化 运 维 工具 的 心得 和 体会 。 本 章 首先 介绍 互联 网 运 维 工程 师 的 职责 、 优 秀 运 
维 工程 师 和 普通 运 维 工程 师 的 区 别 ; 然后 简要 介绍 常见 的 自动 化 运 维 工具 ; 最 后 比较 当前 常见 的 自动 化 运 维 工具 的 优势 ， 以 此 说 明 为 什么 要 选择 Puppet 做 我 们 的 自动 化 运 维 工具 。 


1.1 ” 浅 谈 运 维 工 程 师 


想必 大 家 都 看 过 《好 的 程序 员 是 普通 程序 员 效 率 的 数 十 倍 》 这 篇 文章 ， 这 和 句 话 是 比尔 : 盖 茨 说 的 ， 被 很 多 文章 引用 和 转载 。 笔 者 读后感 同 身受 ， 觉 得 这 篇 文章 讲 的 并 不 夸张 。 程 序 员 如 此 ， 运 维 工 程 师 也 
是 如 此 ， 一 个 优秀 运 维 工程 师 的 效率 确实 是 普通 运 维 工程 师 的 数 十 倍 。 本 节 笔 者 将 带领 大 家 了 解 一 下 优秀 运 维 工 程 师 和 普通 运 维 工程 师 之 间 的 不 同 之 处 。 我 们 从 运 维 工程 师 的 定位 和 职责 开始 介绍 ， 继 而 详 
细 分 析 普 通 运 维 工 程 师 和 优秀 运 维 工程 师 的 差别 ， 最 后 落脚 到 自动 化 运 维 工具 。 


1.1.1 ， 运 维 工程 师 定位 和 职责 


要 想 了 解 普通 运 维 工程 师 和 优秀 运 维 工 程 师 之 间 到 底 有 什么 不 同 ， 首 先 要 了 解 运 维 工程 师 的 定位 ， 也 就 是 运 维 工程 师 处 于 工作 链 的 哪 一 环节 ; 然后 要 了 解 运 维 工程 师 的 职责 是 什么 。 下 面 笔者 将 分 别 进 


首先 我 们 来 看 运 维 工程 师 处 于 工作 链 的 哪 一 环节 。 我 们 都 知道 ， 公 司 的 老板 需要 根据 市 场 提出 指导 思想 ; 项 目 经 理 需 要 对 市 场 状 况 进行 调研 分 析 ; 产品 经 理 需 要 根据 老板 的 指导 思想 ， 结 合 项 目 经 理 的 
调研 分 析 设计 出 产品 雏形 并 提交 给 开发 工程 师 。 在 此 期 间 ， 系 统 工程 师 和 网 络 工程 师 需要 根据 产品 选择 IDC、 搭 建 网 络 环境 、 分 配 网 络 相关 资源 ; 开发 工程 师 编写 代码 ， 并 将 开发 后 的 产品 提交 给 测试 工程 
师 ; 测试 工程 师 对 产品 做 系统 和 功能 测试 ， 将 稳定 的 代码 提交 SVN， 这 时 轮 到 运 维 工程 师 上 场 了 一 一 运 维 工程 师 将 代码 从 SVN Check Out 出 ， 推 到 线 上 系统 供用 户 访问 ， 并 进行 后 续 的 升级 维护 等 工作 。 从 
图 1-1 不 难看 出 ， 运 维 工程 师 处 于 最 后 一 个 环节 ， 也 是 最 重要 的 一 个 环节 ， 运 维 工程 师 负 责 产 品 后 期 的 维护 、 升 级 、 监 控 和 服务 保障 等 。 如 果 运 维 工程 师 在 日 常 运 维 中 工作 做 得 不 到 位 就 直接 影响 线 上 用 户 的 
访问 和 体验 ， 后 果 是 比较 严重 的 。 


系统 工程 师  ，、， 
老板 况 终 工 程 捕 “， 测试 工程 师 


项 目 经 理 开发 工程 师 运 维 工 程 师 


产品 经 理 产品 稚 形 产品 上 线 


图 1-1 产品 研发 流程 图 


需要 注意 的 是 ， 不 同行 业 的 公司 对 运 维 工 程 师 的 定义 也 不 同 。 笔 者 在 这 里 是 以 互联 网 公司 为 背景 介绍 的 ， 当 然 即使 同样 处 于 互联 网 行业 中 的 公司 也 会 存在 一 些 差别 。 规 模 小 一 点 的 公司 ， 一 个 运 维 工 程 
师 可 能 需要 完成 包括 系统 工程 师 、 网 络 工程 师 、 测 试 工程 师 及 部 分 开发 工程 师 的 工作 内 容 ; 规模 比较 大 的 互联 网 公司 ， 运 维 工 程 师 的 工作 职责 可 能 会 比 笔者 介绍 的 更 细致 些 。 


有 关 运 维 工程 师 的 职责 ， 我 们 在 这 里 同样 以 互联 网 公司 为 例 。 笔 者 将 整个 运 维 工作 的 链条 细 化 为 以 下 3 个 部 分 。 
“ 基础 运 维 : 硬件 选 型 、IDC 部 署 、 架 构 规 划 、 容 量规 划 、 资 源 成 本 管理 、 预 算 控制 、 容 灾 、 高 可 用 设计 和 架构 可 扩展 性 等 。 
“ 业务 运 维 : 发 布 变更 、 监 控告 警 、 故 障 处 理 、 软 件 安装 升级 、 系 统 调 优 、 运 营 质量 报告 、 线 上 环境 备份 、 运 营 大 数据 分 析 、 恢 复 和 线 上 程序 发 布 维护 等 。 


“ 数据 运 维 : 存储 架构 设计 、 提 升 数据 的 均衡 负载 能 力 、 数 据 的 备份 与 恢复 、 容 灾 的 建设 、 数 据 的 冷 热 分 离 、 监 控告 警 、DB 调 优 与 SQL 优化 等 。 


1.1.2 ”优秀 运 维 工程 师 vs 普 通 运 维 工程 师 


优秀 运 维 工程 师 和 普通 运 维 工程 师 确实 存在 着 一 些 差别 ， 特 别 是 在 一 些 大 的 互联 网 公司 内 ， 一 个 优秀 的 运 维 工程 师 在 带 来 稳定 服务 的 同时 还 可 以 为 公司 节约 可 观 的 成 本 。 本 小 节 笔 者 结合 自己 的 工作 经 
历 和 体会 ， 来 分 析 一 下 优秀 工程 师 和 普通 运 维 工程 师 究竟 存在 哪些 差别 。 笔 者 希望 通过 本 小 节 的 介绍 能 使 所 有 的 运 维 工程 师 找到 一 点 儿 成 为 优秀 运 维 工 程 师 的 灵感 。 当 然 很 多 运 维 工 程 师 已 经 很 优秀 了 ， 但 
是 没有 最 好 只 有 更 好 ， 我 们 可 以 综合 其 他 优秀 运 维 工程 师 的 优点 ， 让 自己 变 得 更 优秀 。 


在 《好 的 程序 员 是 普通 程序 员 效率 的 数 十 倍 》 中 有 这 样 一 段 话 : “很 多 程序 员 每 天 编码 超过 2000 行 ， 对 于 一 个 程序 员 来 说 这 很 正常 ， 但 我 们 可 以 说 这 是 一 个 好 的 程序 员 吗 ? 我 们 再 来 看 一 下 ， 网 上 报道 
著名 的 软件 公司 一 一 微软 公司 ， 他 们 的 程序 员 每 天 只 编写 50 行 代码 ， 差 距 这 么 大 ， 难 道 微软 公司 的 员工 就 不 是 好 的 程序 员 ”” 从 这 段 话 来 看 ， 程 序 员 并 不 是 每 天 写 的 代码 越 多 就 越 优秀 。 优 秀 的 程序 员 能 
写 出 正常 运行 的 程序 是 基本 要 求 ; 但 还 需要 通过 算法 提高 程序 的 效率 ， 降 低 程序 使 用 的 系统 资源 ， 同 时 提高 程序 的 复 用 性 和 易 用 性 。 运 维 工程 师 也 是 一 样 ， 并 不 是 每 天 的 工作 量 大 就 能 成 为 一 个 优秀 的 运 维 


工程 师 。 笔 者 自己 做 了 比较 ， 刚 入 行 的 普通 运 维 工 程 师 和 工作 多 年 的 优秀 运 维 工 程 师 有 着 明显 的 差别 。 差 别 主要 在 以 下 两 方面 。 


1) 对 运 维 工具 集 的 使 用 。 刚 入 行 的 运 维 工程 师 习 惯 自己 写 脚本 来 完成 运 维 工 具 建 设 和 日 常 的 运 维 工作 。 笔 者 当年 也 一 样 ， 每 次 接 到 新 任务 都 会 重新 写 一 套 脚本 来 完成 新 项 目 。 笔 者 在 工作 多 年 后 ， 也 时 
常 看 到 很 多 刚 入 行 的 运 维 工程 师 采 用 和 笔者 当年 一 样 的 工作 方式 ， 这 样 无 疑 是 比较 耗费 时 间 的 。 单 就 这 方面 来 说 ， 优 秀 运 维 工程 师 和 普通 运 维 工程 师 相 比 ， 主 要 有 以 下 特点 。 


“ 撰写 通用 的 脚本 。 优 秀和 运 维 工程 师 会 找到 每 个 项 目的 共同 点 写 出 通用 的 脚本 ， 尽 量 降低 重复 劳动 ， 提 升 工作 效率 ， 同 时 将 通用 的 脚本 共享 。 这 样 不 仅 降 低 了 其 他 人 的 工作 成 本 ， 还 提高 了 整个 组 或 部 
门 的 工作 效率 。 

“ 尽量 使 用 开源 工具 。 开 源 工具 本 身 就 节省 了 开发 的 成 本 。 如 果 开源 工具 不 能 满足 项 目 需求 ， 优 秀 运 维 工程 师 会 对 开源 工具 做 二 次 开发 。 这 样 一 方面 节约 了 大 量 的 成 本 ， 男 一 方面 他 们 也 可 以 借鉴 开源 
工具 的 一 些 思路 和 想法 来 拓展 自己 的 视野 。 


2) 时 间 管理 。 在 互联 网 行业 中 ， 运 维 工 程 师 和 其 他 工种 有 很 大 的 差别 。 运 维 工程 师 的 时 间 比 较 零 散 ， 比 如 他 们 可 能 前 一 秒 钟 还 在 升级 线 上 程序 ， 后 一 秒 钟 由 于 程序 BUG 导致 线 上 服务 不 可 用 需要 他 们 
立即 停止 正在 进行 的 工作 ， 准 备 迁 移 线 上 流量 。 运 维 工 程 师 好 比 一 个 消防 员 ， 每 天 处 理 的 都 是 十 万 火 急 的 问题 ， 一 点 都 琉 忽 大 意 不 得 。 而 这 样 忙碌 地 工作 一 天 后 ， 总 结 起 来 可 能 实质 性 的 工作 并 没有 很 多 。 
其 实 这 是 很 多 运 维 工 程 师 的 浆 病 。 所 以 想 要 成 为 一 个 优秀 运 维 工程 师 ， 就 要 合理 地 管理 和 利用 时 间 。 好 比 一 个 球 队 在 踢 球 前 会 预先 设置 好 阵 形 ， 然 后 在 比赛 的 过 程 中 通过 变换 阵 形 来 打 赢 比赛 。 运 维 工 程 师 
的 工作 也 是 如 此 ， 需 要 合理 分 配 时 间 ， 平 日 可 以 用 70% 的 时 间 来 处 理 日 常 的 运 维 工 作 ，20% 的 时 间 通 过 程序 或 工具 将 现 有 流程 实现 自动 化 ， 用 10% 的 时 间 来 提前 准备 明天 的 工作 。 只 有 这 样 合理 分 配 时 间 ， 
才能 让 我 们 的 日 常 运 维 工作 事半功倍 、 井 井 有 条 。 


除了 上 面 提 到 的 对 运 维 工具 集 的 使 用 和 时 间 管理 外 ， 成 为 一 名 优秀 运 维 工程 师 还 需要 很 多 其 他 方面 的 能 力 ， 比 如 : 


“ 强烈 的 学 习 和 欲望 和 钻研 精神 。 

“ 良好 的 沟通 和 团队 协作 能 力 。 

“ 技术 分 享 、 沉 淀 、 总 结 、 传 承 能 力 。 
' 行业 洞察 力 。 

“ 好 的 身体 素质 和 吃苦 耐劳 精神 。 
良好 的 编程 能 力 。 

“ 胆 大 心细 ， 敢 于 承担 责任 。 

' 规划 能 力 。 


. 好 的 心态 和 情商 。 


1.1.3 ”自动 化 运 维 工具 


上 面 我 们 对 比 了 一 下 优秀 运 维 工 程 师 和 普通 运 维 工 程 师 的 区 别 。 读 到 这 里 想必 大 家 心中 也 有 了 基本 的 了 解 。 伴 随 着 互联 网 的 云 时 代 和 大 数据 时 代 到 来 ， 早 年 的 运 维 工 程 师 只 需要 管理 几 十 台 、 几 百 台 服 
务 器 ， 而 到 目前 为 止 很 多 运 维 工程 师 需要 管理 几 万 台 服 务 器 。 如 果 没 有 一 套 完善 的 运 维 工具 ， 这 样 的 工作 量 和 维护 成 本 是 不 可 想象 的 。 所 以 想 要 作为 一 个 优秀 的 运 维 工程 师 ， 就 要 借助 运 维 工具 来 让 我 们 更 
好 地 完成 日 常 运 维 工 作 。 在 这 里 笔者 重点 向 大 家 推荐 3 款 功能 强大 的 自动 化 运 维 工具 一 一 Cfengine、Chef 和 Puppet， 它 们 也 被 誉 为 自动 化 运 维 工具 中 的 “三 把 荐 ”。 下 一 节 我 们 将 向 大 家 简单 介绍 一 下 这 3 


款 工具 。 


1.2 ”自动 化 运 维 工具 箱 


1.2.1 Cfengine 


Cfengine 是 一 个 借助 C 语 言 开发 的 、 功 能 强大 的 自动 化 UNIX 管 理工 具 ， 最 早出 现 于 1993 年 。 通 过 Cfengine 可 以 轻而易举 地 管理 客户 端 上 的 设备 。Cfengine 不 仅 运 行 成 本 低 、 效 率 高 、 功 能 强大 ,而 
使 用 范围 广 。Cfengine 可 以 管理 各 种 环境 下 的 设备 ， 从 一 台 到 上 干 台 服 务 器 的 集群 均 适用 。 如 果 运 维 工程 师 想 同时 修改 2000 台 服务 器 的 root 密 码 ， 通 过 Cfengine 可 以 轻松 地 在 几 分 钟 内 实现 。Cfengine 还 
包含 以 下 主要 的 功能 : 


“ 检查 和 配置 网 络 接口 。 


“ 编辑 系统 和 用 户 的 文本 文件 。 


“ 维护 符号 链接 。 


“ 检查 和 设置 文件 的 权限 。 


“ 删除 垃圾 文件 。 
“ 检查 重要 文件 和 文件 系统 的 存在 。 
“ 控制 用 户 脚 本 和 shell 命 令 的 执行 。 
“ 基于 类 的 判定 结构 。 
“ 程序 和 系统 进程 管理 。 
关于 Cfengine 更 多 信息 ， 请 大 家 参考 Cfengine 官 方 网 站 http://cfengine.com/。 


1.Cfengine 生 命 周期 


Cfengine 工 作 时 遵循 的 是 系统 生命 周期 管理 的 Build-Deploy-Manage-Audit (BDMA) 模式 (如 图 1-2 所 示 ) 。BDMA 包 含 系统 生命 周期 的 4 个 阶段 : 构建 (Build) 、 部 署 (Deploy) 、 管 理 
(Manage) 和 审计 (Audit) 。 


图 1-2 ”Cfengine 系 统 生命 周期 


下 面 分 别 介绍 一 下 BDMA 系 统 生命 周期 的 4 个 阶段 。 
“ 构建 阶段 : 需要 计划 策略 更 改 、 规 划 想 要 的 状态 承诺 (promise) 以 及 构建 所 建议 承诺 的 模板 ， 这 样 如 果 所 有 机 器 均 能 做 出 并 兑现 这 些 承 诺 ， 系 统 便 可 无 缝 地 运行 。 
“ 部 署 阶段 : 需要 向 所 有 自主 客户 端 (autonomous clients) 发 布 策略 ， 并 且 每 个 客户 机 都 要 运行 一 个 代理 ， 无 需 协助 即 可 实现 并 维护 这 些 策略 。 
“ 管理 阶段 : 这 个 自主 代理 负责 管理 该 系统 ， 运 维 工 程 师 只 需 处 理 不 能 被 自动 处 理 的 极 少 事件 。 
: 审计 阶段 : 对 更 改进 行 本 地 审计 和 维护 。 决 策 结果 由 Cfengine 内 的 设计 确保 且 可 自动 维护 。 
2.Cfengine 如 何 工 作 
Cfengine 的 工作 过 程 如 下 。 


1) 管理 员 登 录 主 服务 器 更 新 配置 文件 (SVN) ， 通 过 运行 Cfrun 命 令 通知 客户 端 进行 更 新 。Cfrun 在 Cfrun.hosts 文 件 中 查找 客户 端的 列表 。 


2) Cfrun 与 每 个 客户 端 上 的 Cfservd 进 行 通信 ， 然 后 Cfservd 运 行 Cfagent。 


3) Cfagent 连 接 主 服务 器 ， 首 先 检查 Update.conf 是 否 有 新 版 本 ， 如 果 有 更 新 ， 则 将 它 传输 到 客户 端 


4) Cfagent 先 评估 Update.conf 的 内 容 ， 并 获取 策略 文件 (Cfagent.conf 和 相关 文件 ) 的 最 新 版 本 。 随 
作 来 更 正 客户 端 配置 。 


后 评估 Cfagent.conf 以 确定 客户 端 是 否 处 了 


FF 所 需 状 态 。 如 果 有 偏差 ，Cfagent 将 执行 已 定义 的 操 
12.2 Chef 
1. 什 么 是 Chef 
自动 化 管理 工具 Chef[1] 由 Ruby 语 言 开发 ， 是 一 种 可 以 将 框架 转换 为 代码 的 自动 化 工具 平台 。 人 们 不 必 关 心 设备 是 虚拟 机 还 是 物理 机 ， 也 不 必 关 心 是 几 百 台 还 是 几 千 台 服务 器 的 集群 ，Chef 都 可 以 方便 
自如 地 管理 资源 、 进 程 、 系 统 等 信息 。 目 前 很 多 互联 网 公司 也 在 应 用 Chef， 如 Facebook、 亚 马 逊 等 。 
Chef 服 务 器 能 够 存储 用 户 的 配置 数据 和 Recipes， 其 中 配置 数据 用 于 描述 基础 设施 的 所 有 组 成 部 分 ， 而 Recipes 将 这 些 组 成 剖 
上 ， 还 是 在 云端 的 实体 和 虚拟 服务 器 上 ，Chef 用 户 都 可 以 在 系统 的 节点 使 用 Recipes。 随 着 基础 设施 的 变化 和 发 
2.Chef 如 何 工作 


分 集合 为 一 个 完整 的 运行 系统 的 指南 。 无 论 是 在 现场 的 实体 和 虚拟 服务 器 
展 ， 用 户 可 以 使 用 工作 区 域 随时 更 新 Chef 服 务 器 。 通 过 使 


版 本 控制 可 以 获取 所 有 的 更 改 。 


， 然 后 进行 自我 配置 。 


如 果 忽略 所 有 的 细节 ，Chef 是 这 样 工作 的 : 在 工作 站 (Workstation) 上 定义 各 个 客户 端 (Client) 应 该 如 何 配置 ， 然 后 将 这 些 信息 上 传 到 中 心服 务 器 ， 每 个 客户 端 连 到 中 心服 务 器 工作 站 查看 如 何 配 
此 ， 在 Chef 的 环境 搭建 完成 以 后 ， 绝 大 部 分 工作 是 在 工作 站 上 进行 的 ， 客 户 端 要 获取 工作 站 配置 时 ， 会 主动 连接 并 按照 工作 站 的 配 
作 。Chef 主 要 有 以 下 3 种 运行 模式 。 


应 用 到 客户 端 上 上， 客户 端 并 没有 额外 的 工 
* Chef-Solo: 由 一 台 普 通 计 算 机 控制 所 有 的 服务 器 ， 不 需要 专 设 一 台 Chef-Server。 


“Client-Server: 所 有 的 服务 器 作为 Chef-Client， 统 一 由 Chef-Server 进 行 管理 ， 包 括 安装 、 配 置 等 工作 。Chef-Server 可 以 自 建 ， 但 安装 的 东西 较 多 ， 由 于 使 用 Solr 作 为 全 文 搜索 引 掌 ， 因 此 还 需要 安装 Java。 
“ Opscode Platform: 类 似 于 Client-Server， 只 是 Server 端 不 需要 自 建 ， 而 是 采用 官方 网 站 提供 的 Chef-Server 服 务 。 


上 面 3 种 管理 模式 中 ， 无 疑 Client-Server 模 式 是 最 好 的 ， 但 是 同时 也 是 最 复杂 的 。 


因为 通过 这 一 模式 可 以 在 本 地 环境 中 搭建 一 个 私有 的 Chef 集 中 管理 环境 ， 而 无 需 依赖 任何 第 三 方 平台 。 
123 Puppet 


1. 什 么 是 Puppet 


Puppet[3 是 一 款 使 用 GPLV2X 协 议 授权 的 开源 管理 配置 工 . 


理 。 对 于 系统 管理 员 来 说 通过 Puppet 配 置 管理 系统 ， 底 
本 ， 如 图 


文件 和 


Ruby 语 言 开发 。 其 


既 可 以 通过 客户 端 -服务 器 的 方式 运行 ， 也 可 以 独立 运行 。Puppet 可 以 为 系统 管理 员 提供 方便 、 快 捷 的 系统 
层 的 操作 系统 的 发 行 版 本 是 透明 的 ，Puppet 通 过 (Provider 又 称 提供 者 ) 

1-3 所 示 。Puppet 还 可 以 提供 一 个 强大 的 框架 来 完成 系统 管理 功能 ， 在 框架 的 基础 上 系统 管理 员 可 以 通过 Puppet 语 言 来 描述 系统 的 一 些 寻 
异化 配置 管理 服务 器 等 。 同 时 系统 管理 员 和 系统 管理 员 之 间 可 以 分 享 


自动 化 管 
属性 来 完成 软件 的 配置 与 安装 ， 管 理 员 不 必 关心 操作 系统 的 种 类 与 发 行 版 


Puppet 语 言 描 述 好 的 对 


有 务 ， 如 安装 软件 、 初 始 化 系统 、 启 动 、 删 除 服务 、 推 送 配 
务 ， 从 而 减少 重复 劳动 ， 提 高 工作 效率 。 


步骤 五 


图 1-3 Puppet 管 理 操作 系统 流程 图 


Puppet 主 要 由 Luke Kanies 和 他 的 公司 Puppet Labs 开 发 和 维护 。Kanies 从 1997 年 开始 从 事 UNIX 的 系统 管理 ， 并 于 2005 年 创立 了 一 家 专注 于 自动 化 工具 的 开源 软件 公司 Puppet Labs。 不 久之 
后 ，Puppet Labs 发 布 了 他 们 的 旗舰 产品 Puppet。 


2.Puppet 工 作 模 型 
Puppet 可 以 用 来 管理 UNIX/Linux 平 台 ， 同 时 也 添加 了 对 微软 Windows 的 支持 (要 注意 的 是 目前 Puppet 只 对 微软 的 Windows 做 客户 端 支持 ， 并 不 能 将 Windows 用 作 Master 来 管理 其 他 的 服务 器 ) 。 


那么 Puppet 是 如 何 工作 的 呢 ? 目前 Puppet 有 一 个 简单 易 慌 的 工作 模型 ， 如 图 1-4 所 示 。 其 主要 分 为 3 层 ， 分 别 是 部 署 和 调度 层 、 配 置 语言 和 资源 抽象 层 、 事 务 层 。 


图 1-4 Puppet 工 作 模型 


(1) 部 署 和 调度 层 


Puppet Master (Puppet 服 务 器 ， 下 称 Master) 在 一 台 机 器 上 以 守护 进程 的 方式 运行 ， 同 时 还 包含 各 客户 端 节点 的 配置 信息 。Puppet Agent (客户 端 ， 下 称 Agent) 在 与 Master 通 信 的 过 程 中 ， 通 过 
标准 的 SSL 协 议 进行 加 密 和 验证 ， 验 证 通过 后 ，Agent 从 Master 上 读 取 相应 的 节点 配置 信息 。 


需要 注意 的 是 ， 并 不 是 每 次 连接 Agent 都 会 从 Master 上 读 取信 息 ， 只 有 该 节点 在 Master 上 配置 信息 发 生变 化 时 才 会 被 读 取 。 


默认 情况 下 Agent 每 30 分 钟 连接 一 次 Master。 但 是 这 种 方式 在 很 多 场景 下 不 是 很 符合 系统 管理 员 的 要 求 ， 所 以 很 多 系统 管理 员 也 会 将 Agent 通 过 Crontab (UNIX 定 时 任务 计划 ) 来 管理 ， 这 样 会 更 加 灵 
活 一 些 。 


(2) 配置 语言 及 资源 调度 层 


Puppet 使 用 描述 性 语言 来 定义 配置 项 ， 在 Puppet 中 将 配置 项 被 称 为 Resource (资源 ) 。 这 种 描述 性 语言 使 得 Puppet 与 其 他 配置 工具 截然 不 同 。 描 述 性 语言 在 Puppet 中 还 可 以 声明 配置 的 状态 ， 例 如 
一 个 软件 安装 、 配 置 、 启 动 的 各 环节 、 上 下 游 依赖 关系 等 。 


让 我 们 来 看 这 样 一 个 例子 。 系 统管 理 员 需要 在 CentOS、Ubuntu 的 主机 环境 安装 Nginx 服 务 ， 如 果 不 借助 工具 我 们 需要 通过 脚本 来 完成 以 下 步骤 。 
步骤 1 连接 到 目的 主机 ， 输 入 用 户 密码 或 密 钥 。 

步骤 2 检查 是 否 安 装 相应 Nginx 服 务 。 

步骤 3 ”如 果 没有 安装 ， 根 据 系统 发 行 版 本 在 系统 上 执行 不 同 的 命令 。CentOS 可 以 执行 yum 命 令 ，Ubuntu 可 以 使 用 atp-get 命 令 ， 安 装 后 启动 Nginx。 
步骤 4 ”将 安装 后 的 信息 返回 给 服务 器 。 


而 通过 使 用 Puppet， 我 们 只 需要 在 Master 服 务 器 的 相应 配置 文件 中 通过 配置 语言 定义 一 个 Package 资 源 。Package 资 源 的 定义 格式 如 下 : 


资源 名 { ' 标 题 ': 
} 属性 => 值 


例如 


Package { 'nginx': 
ensure => present, 


在 资源 名 里 填写 相应 的 标题 ， 如 nginx， 并 将 资源 的 属性 ensure 赋 值 为 present。 这 里 的 属性 ensure 表 示 软 件 包 的 安装 状态 ，present 表 示 希 望 安装 这 个 Nginx 软 件 包 ， 而 absent 则 表示 希望 卸载 Nginx 
软件 包 。 这 样 当 Agent 来 连接 Master 时 就 会 自动 安装 Nginx 服 务 ， 并 将 安装 好 的 消息 以 报告 的 形式 上 报 Master。 


当 Agent 连 接 Master 时 ，Master 并 不 知道 Agent 的 操作 系统 型 号 和 版 本 。Agent 通 过 Facter 工 具 收集 系统 相关 信息 ， 并 通过 SSL 协 议 将 Agent 的 信息 传递 给 Master。Master 根 据 Agent 收 集 到 的 相关 信 


溃 


(3) 事务 层 


通过 资源 的 提供 者 来 为 Agent 服 务 。 比 如 Package 资 源 收 到 Agent 的 信息 后 ， 会 识别 Agent 的 系统 型 号 版 本 ， 并 通过 资源 提供 者 (如 yum aptitude pkgadd apt-get 等 ) 匹配 ， 为 Agent 服 务 。 


Puppet 事 务 层 其 实 就 是 它 的 解析 引擎 。Puppet 事 务 层 配置 每 一 台 主 机 的 过 程 包 括 以 下 4 步 。 


步骤 1 解析 和 配置 编译 。 
步骤 2 将 编译 好 的 配置 同步 到 Agent。 
步骤 3 ”在 Agent 上 应 用 配置 。 


步骤 4 ”向 Master 报 告 运行 结果 。 


首先 Puppet 会 创建 一 个 图 表 来 表示 所 有 资源 的 关系 和 上 下 游 执行 顺序 ， 以 及 和 Agent 的 关系 。 然 后 Puppet 将 按照 资源 之 间 的 关系 和 上 下 游 顺序 依次 执行 。 


接着 Puppet 为 每 一 个 Agent 获 取 相 应 的 资源 ， 并 把 它们 编译 成 “目录 ” ， 然 后 将 目录 依次 分 发 到 各 主机 ， 并 通过 Agent 来 应 用 它们 ， 最 后 应 用 结果 以 报告 形式 反馈 给 Master。 


@@ 注 意 ”Puppet 并 不 是 完全 的 事务 ， 因 为 事务 会 记录 上 日志， 而 Puppet 并 没有 记录 日 志 ， 也 无 法 像 数据 库 那样 进行 回 滚 。 


[1] Chef 官 方 网 站 http://www.getchef.com/。 


[中 Puppet 官 方 网 站 http://puppetlabs.com/。 


1.3 ”自动 化 运 维 工 具 对 比 


在 1.2 节 中 我 们 介绍 了 现在 比较 常见 的 自动 化 配置 工具 Cfengine、 


Chef 和 Puppet， 下 面 再 来 看 一 下 这 3 款 自动 化 运 维 工 具 的 区 别 ， 如 表 1-1 所 示 。 


表 1-1 自动 化 运 维 工具 区 别 


发言 
语法 难 理解 难 理解 

使 用 人 群 
学 习 门槛 门槛 高 


Ruby 语言 开发 
容易 理解 

用 户 较 多 

门槛 低 


简单 


讲 到 这 里 ,我 们 已 经 基本 了 解 了 Cfengine、Chef 和 Puppet 这 3 款 


自动 化 运 维 工具 。 通 过 表 1-1 可 知 ，Puppet 的 优势 还 是 比较 明显 的 。 若 是 我 们 去 Puppet 的 官方 网 站 [1] 上 看 一 看 ， 会 发 现 很 多 使 


Puppet 作 为 公司 自动 化 运 维 工具 的 例子 ， 目 前 超过 18000 家 公司 在 使 


Puppet 软 件 ， 其 中 包括 Twitter、Zynga、 美 国 银行 、 纽 约 证 券 交 易 所 、 迪 斯 尼 、Citrix、Oracle、Google、Adobe 和 Evernote 等 。 


另外 大 型 招聘 信息 搜索 引擎 Indeed.com 的 数据 对 各 大 公司 招聘 职位 描述 统计 发 现 ， 很 多 公司 增加 了 对 Puppet 技 能 的 要 求 ， 如 图 1-5 所 示 。 
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图 1-5 Puppet 技 能 职位 工作 趋势 


若是 大 家 一 直 在 关注 Puppet 的 动态 ， 一 定 会 发 现 这 则 令 人 振奋 的 消息 : “2014 年 6 月 Puppet Labs 宣 布 获得 E 轮 融资 4000 万 美元 ”， 投 资 者 包括 思科 、Google Ventures、KPCB 和 Vmware 等 ， 这 无 疑 


为 Puppet 的 未 来 发 展 注入 了 更 多 的 活力 。 既 然 Puppet 具 有 如 此 多 的 优点 和 明朗 的 发 展 前 景 ， 就 让 笔者 通过 本 书 带领 大 家 一 起 走 进 Puppet 的 自动 化 运 维 的 世界 吧 。 


[1] http://puppet labs.com/about/customers。 


第 2 章 Puppet 介 绍 


本 章 主要 希望 读者 在 掌握 Puppet 之 前 对 它 的 版 本 情况 、 工 作 流程 和 常见 问题 有 一 些 基 本 的 了 解 。 首 先 介 绍 当前 流行 的 DevOps 运 动 ， 它 是 一 组 过 程 、 方 法 与 系统 的 统称 ， 用 于 促进 开发 、 运 维和 质量 保 
障 (QA) 部 门 之 间 的 沟通 、 协 作 与 整合 ，Puppet 也 是 它 重要 的 工具 成 员 之 一 。 其 次 介绍 Puppet 发 行 版 本 状况 ， 并 重点 介绍 开源 社区 版 本 的 细节 ， 如 何 升级 ， 以 及 它 对 各 系统 发 行 版 本 的 支持 情况 。 然 后 介 
的 基本 工作 流程 ， 让 读者 了 解 Puppet 内 部 的 工作 逻辑 ， 为 后 续 深 入 学 习作 铺垫 。 接 着 介绍 Puppet 的 代码 开发 工具 ， 它 可 以 帮助 提升 工作 的 效率 ， 降 低 程 序 出 错 概率 。 最 后 还 会 解答 Puppet 官 网 


绍 Puppet| 
社区 网 友 的 一 些 共同 问题 和 疑惑 。 


2.1 DevOps 介 绍 


要 的 工具 成 员 之 一 ， 所 以 在 介绍 Puppet 之 前 首先 来 了 解 一 下 DevOps 运 动 。DevOps< 是 英文 Development 和 Operations 的 组 合 ， 是 一 组 过 程 、 方 法 与 系统 的 统称 。DevOps 有 


Puppet 是 DevOps 运 动量 
助 于 促进 开发 、 运 维和 质量 等 部 门 之 间 的 沟通 、 协 作 与 整合 ， 如 图 2-1 所 示 。 


图 2-1 DevOps 


在 传统 的 软件 组 织 中 ， 将 开发 、 运 维和 质量 等 设 为 各 自 独 立 的 部 门 ， 这 样 不 仅 降低 了 各 部 门 之 间 沟 通 的 效率 ， 同 时 也 会 引发 很 多 问题 。 如 ， 开 发 部 门 接 到 项 目 经 理 和 产品 经 理 的 指示 需要 开发 一 款 新 产 
品 ， 而 目前 市 场 上 还 没有 类 似 的 产品 。 如 果 公 司 能 够 在 短 时 间 内 开发 出 此 产品 ， 则 不 仅 能 填补 相应 的 市 场 空白 ， 也 可 以 为 公司 带 来 可 观 的 收益 。 而 实际 情况 往往 是 这 样 的 : 各 部 门 之 间 没 能 有 效 地 沟通 便 开 
始 了 各 自 的 工作 ， 很 可 能 开发 部 门 在 未 与 运 维 部 门 做 足够 的 沟通 前 ， 便 没 日 没 夜 地 开发 起 这 款 新 产品 ， 最 后 终于 在 限期 内 将 这 款 新 产品 开发 出 来 ， 然 后 将 开发 后 的 相关 产品 一 次 性 推 给 运 维 上 线 和 后 期 维 
护 。 而 当 开 发 将 新 产品 交 于 运 维 部 门 后 问题 便 产 生 了 ， 运 维 部 门 发 现 目前 线 上 系统 从 硬件 到 软件 都 比较 老 ， 不 适合 这 款 新 产品 运行 ， 无 奈 之 下 运 维 部 门 只 能 没 日 没 夜 地 加 班 更 新 线 上 软 硬 件 系统 ， 强 行将 新 
产品 运行 在 线 上 系统 。 这 不 仅 容易 导致 新 产品 线 上 故障 频 出 ， 给 公司 带 来 经 济 损失 ， 同 时 也 伤害 了 用 户 的 产品 体验 ， 最 后 新 产品 以 失败 告终 。 在 实际 工作 中 这 些 问 题 层 出 不 穷 ， 但 并 不 是 无 计 可 施 。 
DevOps 运 动 的 出 现 就 是 为 了 解决 软件 行业 存在 的 这 些 问题 ， 而 Puppet 就 是 DevOps 运 动 中 一 个 重要 的 工具 成 员 ， 作 为 集中 管理 配置 工作 同时 面向 开发 与 运 维 。 正 如 Puppet Labs 的 运 维 总 监 Kartar 所 说 : 
DevOps 运 动 就 是 试图 避免 重大 失误 ， 并 更 聪明 且 高 效 地 工作 ， 它 是 一 种 旨 在 促进 开发 和 运 维 两 个 团队 相互 合作 、 学 习 的 思想 、 原 则 和 框架 。 在 一 个 DevOps 环 境 中 ， 为 开发 人 员 和 系统 管理 员 建 立 关系 、 流 
程 和 工具 ， 让 他 们 可 以 更 好 的 交互 ， 并 最 终 为 产品 提供 更 好 的 服务 。 


2.2 ”Puppet 版 本 介绍 


Puppet 目 前 提供 两 种 发 行 版 本 ， 即 开源 社区 版 本 和 企业 版 本 ， 我 们 稍 后 会 介绍 两 个 版 本 的 区 别 。 而 本 书 从 应 用 的 角度 出 发 ， 主 要 介绍 开源 社区 版 本 ， 对 企业 版 只 做 了 解 性 的 介绍 。 截 至 本 书 出 版 
前 ，Puppet 官 方 网 站 共 为 用 户 提供 了 4 个 Puppet 开 源 社区 版 的 版 本 分 支 ， 不 同 版 本 分 支 之 间 主 要 是 性 能 和 功能 上 的 差别 ( 注 : 本 书 中 介绍 的 案例 多 以 开源 社区 2.7.25 版 本 为 例 来 做 介绍 ) 。 目 前 Puppet 支 持 
不 同 分 支 版 本 之 间 的 混用 ， 稍 后 我 们 会 介绍 如 何 混用 。 但 是 为 了 避免 不 必要 的 麻烦 ， 笔 者 建议 尽量 不 要 混用 版 本 。 下 面 来 了 解 一 人 Puppet 版 本 号 介绍 、 版 本 混用 可 行 性 、 如 何 升级 Puppet 和 Puppet 发 行 版 
本 的 具体 情况 。 


2.2.1 Puppet 开 源 社区 版 本 号 介绍 


目前 开源 社区 版 提供 的 4 个 版 本 分 支 如 下 : 从 版 本 0.22.1 到 0.25.5 是 Puppet 的 早期 分 支 ， 目 前 官网 已 经 不 再 提供 技术 支持 ;从 版 本 2.6.0 到 2.6.18 是 目前 正在 维护 的 安全 分 支 ， 已 经 停止 开发 ;从 版 本 2.7.0 
到 2.7.26 是 目前 正在 维护 的 安全 版 本 分 支 ， 也 是 目前 比较 主流 的 版 本 分 支 ; 从 版 本 3.0.0 到 3.6.* 是 当前 开发 中 的 版 本 分 支 。 


这 里 笔者 推荐 使 用 Puppet 2.7.25 或 3.6.2 的 Puppet 版 本 。 


细心 的 读者 可 能 会 发 现 ， 从 第 一 类 分 支 到 第 二 类 分 支 ，Puppet 的 版 本 从 0.25.5 版 本 一 下 跳 到 了 2.6.0。 为 什么 Puppet 版 本 号 会 跳 了 这 么 多 呢 ? 是 Puppet 2.6.0 版 本 比 0.25.5 版 本 强大 了 11 倍 吗 ? 答案 是 否 
定 的 。 从 官网 上 我 们 了 解 到 ，2.6.0 版 本 包含 大 量 的 附加 特性 ， 并 且 移 除了 XML-RPC 传 输 层 ， 改 用 REST API， 这 样 大 大 提高 了 Puppet 的 性 能 。 读 者 需要 了 解 的 是 Puppet 版 本 号 跳跃 大 ， 并 不 代表 Puppet 的 
发 展 速度 和 变化 也 很 大 ， 而 只 是 代表 其 稳定 性 和 功能 性 有 所 增加 和 改善 。 关 于 Puppet 的 版 本 ， 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/release_notes/index.html。 


2.2.2 ”Puppet 版 本 混用 可 行 性 


最 常见 的 Puppet 部 署 模型 是 C/S (客户 端 /服务 端 模型 ) 。 读 者 可 能 会 问 : 是 否 能 使 用 不 同 的 Puppet 版 本 作为 Master 和 Agent? 答案 是 肯定 的 ， 但 前 提 是 要 遵守 如 下 的 注意 事项 : 


:Master 的 版 本 一 定 要 高 于 Agent。 例 如 ， 你 可 以 将 一 个 0.24.8 版 本 的 Agent 连 接 到 一 个 2.6.0 版 本 的 Master， 但 是 反 过 来 是 行 不 通 的 。 


“Agent 的 版 本 越 老 ， 在 与 新 版 本 的 Master 搭 配 时 正确 运行 的 可 能 性 就 越 小 。 一 个 0.20.0 版 本 的 Agent 搭 配 一 个 2.6.0 的 Master 基 本 上 不 可 能 正确 运行 。 通 常 0.24.x 版 的 Agent 可 以 正常 连接 到 2.6.x 和 0.25.x 版 本 
的 Master 并 且 正 常 运行 。 而 更 新 版 本 的 Master 就 可 能 无 法 完全 兼容 早期 的 Agent， 在 使 用 时 一 些 功能 和 特性 可 能 会 出 现 异常 。 


:将 2.6.x 或 更 新 版 本 的 Mastet 与 0.24.x 及 早期 版 本 的 Agent 混 合 使 用 意味 着 我 们 将 无 法 获得 2.6.x 版 本 提供 的 全 部 性 能 提升 。0.24.x 版 的 Agent 依 然 会 使 用 较 慢 的 XML-RPC 传 输 层 来 进行 通信 ， 从 而 无 法 利用 新 
的 REST 接 口 。 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/references/index.html。 


2.2.3 ”如 何 升 级 Puppet 


在 正式 介绍 升级 版 本 的 操作 步骤 之 前 ， 先 来 看 一 看 Puppet 升 级 版 本 中 的 注意 对 
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1 .注意 事项 


目前 Puppet 官 方 网 站 对 Puppet 的 版 本 还 在 不 断 更 新 中 ， 如 果 目 前 使 用 的 版 本 比较 者 ， 已 经 不 能 满足 我 们 的 需求 ， 就 需要 通过 升级 新 版 本 来 支持 更 多 的 功能 。 在 升级 新 版 本 时 建议 注意 以 下 3 点 : 


:升级 前 仔细 阅读 release note (http://docs.puppetlabs.com/release_notes/index.html) ， 了 解 版 本 与 版 本 之 前 的 差异 ， 以 避免 版 本 之 间 的 差异 带 来 的 升级 风险 。 


“ 通常 使 用 的 Puppet C/S ( 即 Client 为 Agent，Server 为 Master) 架构 来 管理 服务 器 ， 所 以 升级 Puppet 时 ， 首 先 要 要 升级 Master， 确 保 Mastet 为 最 高 的 版 本 ， 再 升级 Agent。 


“ 升级 Puppet 时 尽量 避免 跳 大 的 版 本 。 如 将 现在 用 的 是 2.6.* 版 本 直接 升级 到 3.6.* 版 本 ， 这 样 是 不 推荐 的 。 建 议 先 升级 到 2.7 版 本 ， 待 稳定 没有 问题 后 再 平滑 地 过 渡 到 3.6.* 版 本 甚至 更 高 的 版 本 。 


2. 升 级 步骤 


升级 的 Master 如 果 是 一 组 服务 器 来 提供 服务 的 ， 那 么 建议 先 灰 度 [升级 
是 一 台 服务 器 ， 推 荐 以 下 的 升级 流程 。 


中 的 一 台 服 务 器 ， 并 观察 升级 后 的 Master 日 志 状态 ， 通 过 日 志 的 最 终 状态 来 评估 是 否 升级 全 部 的 服务 器 。 如 果 升级 的 Master 


1) 以 源码 方式 安装 Puppet。 安 装 新 版 本 的 目录 与 老 版 本 目录 分 开 。 


2) 在 Master 上 以 升级 后 的 新 版 本 Puppet 来 启动 服务 端口 。 这 里 可 以 通过 masterport 参 数 启动 自 定义 端口 ， 如 puppet master--no-daemonize--verbose--masterport 8141-- 
pidfile=/tmp/8141.pid 方 式 在 Master 启 动 8141 端 口 与 旧版 本 Puppet 的 8140 端 口 来 共同 提供 服务 。 在 Master 启 动 升级 后 的 Puppet 通 过 Agent 来 测试 最 终 升级 的 结果 ， 这 里 Agent 需 要 通过 “: 端口 ”方式 
指定 Master 的 新 版 本 自 定义 服务 端口 ， 如 puppet agent--server puppet.example.com:8141--environment=production--test 方 式 ， 来 最 终 确认 是 否 能 连接 成 功 ， 并 获取 相应 的 配置 。 


3) 观察 Master 的 日 志 ， 确定 新 版 本 升级 没有 问题 。 如 果 需 要 还 可 以 删除 老 版 本 目录 ， 建 立 软 链接 到 新 版 本 目录 。 


4) 整个 升级 结束 。 


2.2.4 Puppet 发 行 版 本 介绍 


Puppet 的 官方 网 站 提供 两 种 版 本 ， 即 企业 版 本 和 开源 社区 版 本 。 本 书 主 要 以 开源 社区 版 本 为 例 进行 介绍 ， 因 为 企业 版 本 大 于 10 个 节点 是 收费 的 ， 所 以 在 这 里 只 进行 了 解 性 的 介绍 。 企 业 版 与 开源 社区 版 
本 提供 的 服务 器 管理 配置 功能 基本 一 致 ， 但 是 企业 版 本 会 提供 丰富 的 扩展 功能 ， 如 表 2-1 所 示 (N 代 表 不 支持 ，Y 代 表 支 持 ) 。 


关于 企业 版 本 这 里 值得 一 提 的 是 亚马逊 EC2 (Elastic Compute Cloud， 中 文 翻译 即 “ 亚 马 逊 弹性 计算 云 ” ) 和 Vmware vms 功 能 ， 其 中 亚马逊 EC2 的 用 户 可 以 支付 一 定 的 费用 ， 在 亚马逊 购买 云 主机 为 
互联 网 用 户 提供 自己 的 服务 。 云 主机 的 好 处 是 可 以 降低 成 本 ， 如 果 希 望 还 能 降低 云 主 机 运 维 成 本 ， 推 荐 读者 使 用 企业 版 本 的 亚马逊 EC2 功 能 来 为 你 管理 云 主机 。 另 外 就 是 Puppet 的 Vmware vms 功 能 。 了 解 
Vmware 的 朋友 应 该 都 知道 它 是 一 家 做 虚拟 化 的 公司 。 伴 随 互联 网 的 浪潮 到 来 ， 用 户 对 互联 网 的 要 求 越 来 越 高 ， 企 业 需 要 大 量 的 服务 器 来 支撑 自己 的 服务 ， 为 了 节约 资源 就 需要 用 到 虚拟 化 来 合理 分 配 资 
源 。 一 般 Vmware 公 司 的 虚拟 化 产品 是 首选 ， 而 Puppet 企 业 版 本 的 Vmware vms 功 能 就 可 以 支持 这 一 虚拟 化 的 管理 ， 为 我 们 进一步 降低 运 维 成 本 。 目 前 企业 版 本 10 个 节点 以 下 是 完全 免费 使 用 的 ， 大 于 10 
个 节点 则 需要 向 Puppet 官 方 支付 一 定 费用 才能 使 用 。 


表 2-1 Puppet 企 业 版 和 开源 版 本 区 别 


特 征 开源 社区 版 本 企业 版 本 
图 形 化 管理 
亚马逊 EC2 
VImWware vms 
management — Discovery 
management — User accounts 
Operating systems & applications 
Puppet Forge 站 点 1600+ 模块 支持 
官方 7 x 24 技术 支持 
权限 控制 管理 
Puppet Lab 工程 师 认 证 


m 


关于 企业 版 本 和 开源 社区 版 本 更 多 信息 请 参考 官方 网 站 http://puppetlabs.com/puppet/enterprise-vs-open-source/。 


四 灰 度 是 指 在 黑 与 白 之 间 能 够 平滑 过 渡 的 一 种 发 布 方式 。AB test 就 是 一 种 灰 度 发 布 方式 ， 让 一 部 分 用 户 继续 用 A， 一 部 分 用 户 开始 用 B， 如 果 用 户 对 B 没 有 什么 反对 意见 ， 那 么 逐步 扩大 范围 ， 把 所 有 用 户 都 
迁移 到 B 上 面 来 。 灰 度 发 布 的 优势 是 灰 度 期 间 就 可 以 发 现 与 调整 出 现 的 问题 ， 当 发 布 出 现 的 问题 比较 严重 时 ， 可 以 第 一 时 间 回 退 操作 ， 将 损失 降 到 最 低 程 度 。 


2.3 ”Puppet 版 本 运行 环境 和 硬件 要 求 


目前 Puppet 支 持 UNIX/Linux 和 微软 Windows 系 列 的 操作 系统 。 读 者 需要 注意 的 是 ，Puppet 在 2.6.0 版 本 之 后 才 支 持 微软 Windows 系 列 操作 系统 ， 并 且 只 支持 file 资 源 符 。 综 合 来 看 ，Puppet 的 接 入 门 
槛 还 是 比较 低 的 ， 支 持 多 个 操作 系统 和 多 种 发 行 版 本 ， 同 时 对 硬件 要 求 也 是 不 高 。 下 面 我 们 来 了 解 一 下 Puppet 版 本 运营 环境 和 硬件 要 求 。 


2.3.1 Puppet 版 本 运行 环境 
1.Linux 发 行 版 


由 于 Linux 系 统 本 身 的 版 本 就 很 多 ， 现 在 市 场 上 主流 的 就 有 十 几 种 之 多 ， 所 以 就 导致 了 Puppet 支 持 Linux 的 版 本 也 很 多 。 下 面 做 简单 的 列举 ， 以 便 读者 根据 自己 所 用 Linux 版 本 选择 相应 的 Puppet 版 本 。 


: RedHat Enterprise Linux 版 本 4 或 更 高 版 本 

“ CentOS 版 本 4 或 更 高 版 本 

“Scientific Linux 版 本 4 或 更 高 版 本 

Oracle Linux 版 本 4 或 更 高 版 本 

“ Debian 版 本 5 或 更 高 版 本 

: Ubuntu 版 本 8.04LTS 或 更 高 版 本 

* Fedora 版 本 15 或 更 高 版 本 

“ SUSE Linux Enterprise Server 版 本 11 或 更 高 版 本 
: Mandriva Corporate Server 4 


* ArchLinux 


2.BSD/UNIX/Other 


市 场 上 主流 的 BSD/UNIX/Other 相 关 发 行 版 本 也 是 比较 多 的 ， 以 下 是 常见 的 发 行 版 本 支持 状况 。 


“ FreeBSD 版 本 4.7 或 之 后 的 版 本 

: OpenBSD 版 本 4.1 或 之 后 的 版 本 

:Other UNIX 

* Mac OS 义 ， 版 本 10.4 (Tiger) 或 更 高 版 本 
Oracle Solaris， 版 本 10 或 更 高 版 本 

“ AIX， 版 本 5.3 或 更 高 版 本 


* HP-UX 


3. 微 软 操作 系统 Windows 


目前 Puppet 只 支持 微软 近年 发 行 的 操作 系统 ， 详 细 如 下 : 


* Windows Server 2003 和 2008 (Puppet 2.7.6 或 更 高 版 本 ) 


“Windows 7 (Puppet 2.7.6 或 更 高 版 本 ) 


2.3.2 ”Puppet 硬 件 要 求 


Puppet 对 硬件 的 要 求 并 不 高 ， 以 下 是 Puppet 的 一 个 基本 硬件 配置 要 求 和 支持 管理 节点 服务 器 的 状况 。 


* 最 小 配置 是 双核 CPU，1GB 内 存 。 


:推荐 配置 2~4 核 CPU，4GB 以 上 内 存 配置 ， 这 样 的 配置 大 约 可 以 管理 1000 个 节点 服务 器 。 


笔者 觉得 这 个 配置 基本 可 以 满足 日 常 小 规模 服务 器 的 管理 ， 不 过 还 要 看 我 们 所 在 网 络 的 状况 和 管理 的 内 容 。 在 跨 网 访问 环境 或 推送 比较 大 的 数据 文件 都 会 导致 Master 的 超时 ， 从 而 影响 正常 使 用 ， 这 就 
需要 通过 增加 硬件 配置 、 改 善 网 络 环境 或 配置 Puppet 集 群 来 解决 。 关 于 这 些 问题 的 解决 方案 会 在 第 11 章 详细 讨论 。 


2.4 ”Puppet 工 作 流程 


Puppet 既 可 以 单机 运行 ， 也 可 以 通过 C/S 的 方式 运行 。 不 过 大 多 数 场景 下 还 是 用 C/S 方 式 来 运行 Puppet。 如 图 2-2 所 示 为 C/S 场 景 下 Puppet 的 工作 流程 图 。 
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Facter 


Apply Catalog 


图 2-2” Puppet 工作 流程 图 


下 面具 体 分 析 Puppet 的 工作 流程 。 


1) Agent 访 问 Master 建 立 访问 信任 关系 ， 流 程 中 包括 Master 对 Agent 证 书 授权 签名 ， 并 准许 Agent 访 问 Master 资 源 。 


2) 建立 信任 关系 后 Master 调 


用 Agent 的 Facter， 探 测 出 Agent 主 机 的 一 些 机 器 变量 ， 如 主机 名 、 内 存 大 小 、IP 地 址 、CPU 和 负载 等 信息 。Agent 将 这 些 信息 通过 SsL 加 密 传输 发 送 到 Master，Master 


以 变量 名 形式 获取 这 些 信息 并 使 用 。 


3) Master 接 收 Agent 的 3 


机 


信息 请 求 ， 并 将 它们 发 送 到 本 机 的 manifests 或 ENC (外 部 节点 分 类 器 ) ，ENC 包 括 Python、Ruby 和 Shell 等 ， 只 要 支持 yaml 格 式 都 可 以 ， 然 后 进行 配置 信息 查询 。 


4) 根据 Agent 的 HOSTNAME 匹 配 到 相应 的 Node (节点 ) ， 整 个 解析 过 程 分 为 几 个 阶段 ， 首 先是 语法 检查 ， 如 果 有 语法 错误 则 停止 报错 ， 否 则 继续 解析 最 终 编译 生成 Catalog。 


5) Agent 接 收 到 Catalog 


口 ， 


在 本 机 应 用 Master 的 配置 信息 。 


6) 根据 接收 到 的 Catalog 中 的 信息 判断 Agent 在 执行 时 有 没有 File 文 件 要 从 Master 推 送 到 Agent， 如 果 有 则 向 Master Fileserver 发 起 请 求 获取 文件 。 


7) 将 Agent 的 信息 以 报告 形式 上 报 Master。 读 者 需要 注意 Puppet 2.6 和 Puppet 2.6 以 下 版 本 默认 并 不 会 主动 推送 报告 到 Master， 需 要 设置 puppet.conf 配 置 文件 中 的 reports=true 参 数 。Puppet 2.7 
和 Puppet 2.7 以 上 版 本 默认 开启 此 功能 。 


8) 流程 结束 。 


2.5 “Puppet 开 发 工具 


工 欲 善 其 事 ， 必 先 利 其 器 。Puppet 官 方 不 但 提供 了 对 服务 器 的 配置 管理 解决 方案 ， 还 为 用 户 提供 了 多 种 开发 工具 以 提高 配置 管理 的 效率 。 这 里 主要 介绍 Geppetto 与 Vim 两 种 常用 开发 工具 。 关 于 
Puppet 更 多 的 开发 工具 可 以 参考 http://projects.puppetlabs.com/projects/1/wiki/Editor_Tips。 


2.5.1 Geppetto 开 发 环境 


1.Geppetto 下 载 


Geppetto 是 一 款 官方 推荐 的 图 形 界 面 开 发 工具 ， 可 以 帮助 我 们 开发 Puppet 的 modules 和 manifests。Geppetto 通 过 Eclipse 工具 构建 开发 环境 ， 它 提供 了 语法 高 亮 、 内 容 补 全 、 错 误 跟 踪 、 代 码 调试 和 
编译 等 功能 。Geppetto 还 通过 接口 在 Puppet Forge 上 创建 项 目 、 编 写 自 定 义 模块 和 上 传 自 定义 模块 等 。Geppetto 集 成 了 Git 与 和 SVN 等 功能 ， 通 过 它们 实现 了 对 代码 的 版 本 控制 、 代 码 管理 、 语 法 分 析 以 
及 版 本 比较 等 。 下 面 来 介绍 Geppetto 的 下 载 与 安装 。 


Geppetto 目 前 支持 3 种 操作 系统 ， 它 们 分 别 是 Linux、MAC 与 Windows， 如 图 2-3 所 示 。Geppetto 支 持 32 位 的 操作 系统 与 64 位 操作 系统 。Geppetto 下 载 地 址 
为 http://puppetlabs.github.io/geppetto/download.html。 
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2-3 ”Geppetto 官 方 下 载 网 站 


2.Geppetto 安 装 


目前 Geppetto 安 装 方 式 分 为 两 种 方式 ， 一 种 方式 是 下 载 Geppetto 后 直接 安装 (Geppetto 需 要 Java 环 境 支持 ,但 是 为 了 缩小 Geppetto 的 安装 包 ， 目 前 Geppetto 下 载 后 并 不 提供 Java 环 境 支持 , 需 


行 安装 ) ; 另 一 种 方式 是 通过 Eclipse 来 安装 Geppetto 扩 展 包 。 下 面 分 别 介 绍 。 


(1) 下 载 后 直接 安装 


这 里 以 Mac 系 统 介绍 第 一 种 方式 一 一 安装 Java 和 Geppetto。 


首先 安装 Java， 安 装 文件 地 址 为 http://www.java.com/zh_CN/download/applejsp。 安 装 前 需要 注意 java 需 要 基于 Intel 的 Mac， 该 操作 系统 运行 的 是 Mac OS X 10.7.3 (Lion) 或 更 高 版 本 ， 并 且 需 
要 拥有 管理 员 权限 才能 安装 。 在 浏览 器 中 下 载 Java 的 .dmg 安 装 文件 ， 下 载 后 双击 安装 文件 ， 如 图 2-4 所 示 。 


LJava 7 Update 67 


Java 


Double-click on icon to install 


‘Java 7 Update 67.pkg 


图 2-4 Java 源 码 文件 包 

安装 .dmg 文 件 会 检查 本 机 是 否 已 经 安装 Java， 并 根据 检查 结果 进行 完整 安装 Java 源 程序 或 升级 Java 源 程序 。 由 于 笔者 Mac 系 统 已 经 安装 了 Java， 所 以 检查 结果 为 对 Java 版 本 进行 升级 。 
接着 单 击 Java 升 级 包 名 Java 7Update 67.pkg 进 入 安装 环节 ， 如 图 2-5 所 示 。 

安装 环节 中 会 提示 我 们 Java 的 安装 步骤 与 软件 包 在 计算 机 上 占用 的 磁盘 空间 ,确认 后 单 击 “ 安 装 ”按钮 。 


Java 成 功 安装 后 界面 如 图 2-6 所 示 。 


接着 下 载 Geppetto 软 件 包 ， 下 载 地 址 为 http://puppetlabs.github.io/geppetto/download.html。 下 载 后 为 .zip 格 式 文件 ， 解 压 后 进入 目录 后 双击 可 执行 文件 Geppetto。Mac 首 次 启动 Geppetto 可 能 
会 报 “Geppetto 来 自身 份 不 明 开发 者 ”的 信息 ， 这 里 可 以 通过 Mac 系 统 的 安全 与 隐私 选项 跳 过 此 信息 。 打 开 Geppetto 工 具 ， 如 图 2-7 所 示 。 这 时 就 可 以 通过 它 开发 Puppet 的 代码 了 。 


芯 安装 "java 7 Update 67" 
在 “system" 上 进行 标准 安装 


这 将 占用 您 的 电脑 上 的 148.8 MB 空间 。 


请 点 按 "安装 "来 为 此 电脑 的 所 有 用 户 执行 此 软件 标准 安 
装 。 此 电脑 的 所 有 用 户 均 可 以 使 用 此 软件 。 


图 2-5 Java 安 装 环节 
区 安装 "java 7 Update 67" 
安装 成 功 。 


图 2-6 Java7 成 功 安装 界面 


(2) 通过 Eclipse 来 安装 


给 Eclipse 工具 添加 现 有 版 本 Geppetto 的 过 程 分 为 以 下 5 步 。 
步骤 1 选择 Help->lnstall New Software。 


步骤 2 在 Work with 选 项 中 增加 https://geppetto-updates.puppetlabs.com/4.x. 链 接 ， 如 图 2-8 所 示 。 


步骤 3 在 Eclipse 里 选中 Geppetto， 单 击 next 按 钮 。 
步骤 4 同意 license agreement， 完 成 流程 。 


步骤 5 重启 Eclipse。 


Resource ~- www/manifests /init.pp -~ Ceppetto ~ /Users/djangowang/Documents/workspace 


作 辐 凡 外 Br 克 r 娄 "证 ' 富 人 rr.4 (Qouickaccess  ) 时 | 


刁 # Class; www 


This module manages ww 
VTE-manifests 


Binitpp 
# Cspec 
bp Btests 
RO metadata json 
RY Modulefile 
目 Rakefile 
葡 READMEmarkdown 


Parameters: none 
Actions: 
Requires: see Nodulefile 


Sample Usage: 


介入 社 六 入 和 社 和 社 神 六 和 补 社 和 社 


lass www { 
notify {"echo wangdongsheng ":} 


| Tasks %、 \ 
0 items 
[YY Description Resource 


图 2-7 Geppetto 界 面 


一 er 
~ 


Available Software 
Check the iterms that YOU wish to install, 


Find more software by working with the "Available Software Sitas” preferences. 


type fiter text 
Name Version 
同 向 Uncategorized 
(Eclipse CVS Client 1.2.1.r362_v20101111-7877FXv99HLOCVIA 
OB Eclipse ECK (ncubation) 0.12.1 
Eclipse JCit (Incubation) 0.12.1 
Xp Eclipse platform 3.6.2.r362_v20110210-99F78CGs1FriGnHDH 
AB EMF - Edlipse Modeling Framework Core Runtime 2.7.0.v20110502-0000 
OEMF Common 2.7.0.v20110502-0000 
BEMF Common Ul 2.7.0.v20110502-0000 
EMF Ecore Edit 2.7.0.v20110502-0000 
.EMF Edit 2.7.0.v20110502-0000 
EMF Edit UI 2.7.0.v20110502-0000 
< Equinox p2 Provisioning 2.0.1.r361] v20100903-897HFa-FX0z-z-ntc 
《站 ‘ ' (5 1 
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2.2.2.120110419-1700 


| 


litem selected 


Detalls 
| Ceppetto is an integrated environment for developing Puppet modules and manifests. 


Wi Show only the latest versions of available software 口 Hide isems that are already installed 
加 Group items by category What is already installed? 
加 Contact all update sites during install to find required software 


四 


图 2-8 Eclipse 添加 Geppetto 


2.5.2 Vim 开发 环境 


Vim 是 由 Vi 发 展 出 来 的 一 个 文本 编辑 器 ， 它 支持 代码 补 全 、 语 法 高 亮 、 插 件 扩展 和 编译 及 错误 跳 转 等 功能 。 使 用 Vim 可 以 极 大 地 提高 编程 的 效率 。Vim 在 UNIX/Linux 系 列 的 程序 员 中 使 用 广泛 。 目 前 
Puppet 的 官方 网 站 提供 了 puppet.vim 的 语法 代码 插件 ， 语 法 代码 插件 功能 主要 基于 Puppet 的 编程 风格 指南 。 它 实现 了 语法 高 亮 与 自动 补 全 功能 ,优势 是 不 需要 腔 肿 的 JRE 环 境 、 启 动 速度 快 。 下 面 我 们 通 
过 Puppet 官 方 网 站 来 下 载 puppet.vim 语 法 高 亮 的 扩展 文件 。 


# wget http://downloads.puppetlabs.com/puppet/puppet.vim -P /usr/share/vim/vim64/plugin 


以 上 命令 的 作用 是 将 Puppet 官 方 网 站 的 puppet.vim 文 件 下 载 到 /usr/share/vim/vim64/plugin 目 录 中 。-p 参 数 指定 下 载 目录 的 位 置 ， 指 定 它 的 位 置 为 Vim 的 扩展 目录 。 下 载 成 功 确认 没有 问题 后 ， 再 次 
编辑 *.pp 文 件 ， 会 发 现 Puppet 的 代码 文件 内 容 已 经 高 亮 显 示 。 


如 果 仍 然 无 法 高 亮 显 示 ， 可 尝试 以 下 步 又: 
1) 打开 vimrc 配 置 文件 ， 添 加 syntax on 打开 语法 高 亮 功 能 。 


2) 以 RedHat 为 例 编辑 /etc/profile 文 件 ， 追 加 export TERM =xterm-color 到 文件 中 ， 并 执行 source/etc/profile 命 令 ， 重 新 加 载 配置 变量 。 


2.6_Puppet 问 答 


在 对 Puppet 的 配置 和 功能 有 了 初步 的 了 解 之 


发 中 去 。 下 面 我 们 就 对 大 多 数 读 者 都 会 关心 的 几 个 问题 做 出 解答 。 


问题 一 “为 什么 选 


为 什么 选 


全 不 能 


用 Ruby 语 言 开发 Puppet? 


模型 的 熟 手 。 从 那 以 后 Luke Kanies 从 未 试 着 上 


在 笔者 看 来 ， 不 同 编程 语言 有 不 同 的 优势 ， 没 有 最 好 的 编程 语言 只 有 


问题 二 ”为 什么 Puppet 用 自己 的 语言 格式 而 不 用 XML 和 YAML? 


Puppet 语 言 使 用 的 manifests 有 着 


E 常 人 性 化 的 操作 界面 。 而 XML 和 YAML 作 为 两 个 


YAML 的 代码 ， 而 实际 上 人 们 也 习惯 于 浏览 网 页 而 不 是 直接 阅读 HTML。 同 理 可 得 ， 使 有 


而 Puppet 2.6.0 实 际 上 就 加 入 了 使 


问题 三 ”Puppet 都 适合 于 什么 场合 ? 


Puppet 能 使 任何 想 要 降低 维护 计算 机 成 本 的 机 构 从 中 受益 。 然 而 ， 因 


后 ， 很 多 读者 可 能 不 禁 会 对 Puppet 的 


因为 这 一 想法 产生 于 2003 征 


最 适合 的 编程 语言 。 


Ruby 作 为 Puppet 的 开发 语言 呢 ? Puppet 的 作者 Luke Kanies 是 一 名 系统 管理 员 ， 多 数 情况 下 Luke Kanies 采 上 
中 获得 想 要 的 类 别 关 系 。 然 后 Luke Kanies 兴 试 了 Python ， 


Ruby 简 单 、 方 便 、 


FE， 而 那 时 写 Python 的 人 还 比较 少 ， 几 于 
Python 来 编写 想 要 的 程序 。 一 个 偶然 的 机 会 ， 朋 友 向 他 提起 Ruby 的 功能 很 强 ， 所 以 Luke Kanies 尝 试 了 Ruby, 之 
其 他 语言 ， 也 从 未 后 悔 当 初 选择 Ruby 开 发 Puppet。 


围绕 计算 机 处 理 能 力 而 设计 的 数据 格式 ， 其 人 性 化 操作 界 
XML 和 YAML 的 数据 格式 将 会 限制 操作 界 


发 语言 、 选 用 的 语言 格式 等 产生 疑问 ， 也 会 在 对 Puppet 产 生 了 兴趣 之 后 有 了 自己 的 想法 ， 想 要 参与 到 Puppet 的 


Perl 来 编写 程序 ， 但 当 他 想 要 试 着 编写 脑海 里 所 想 程序 的 原型 时 却 不 能 从 Perl 
所 有 人 都 在 谈论 Python 有 多 么 的 神奇 ， 但 是 尝试 之 
后 仅仅 用 了 4 个 小 时 的 时 间 ， 他 就 从 完全 没有 接触 过 Ruby 的 新 手 变 成 了 一 个 工作 


后 Luke Kanies 却 觉得 他 完 


快捷 和 


百 


向 对 象 开发 等 优势 ， 使 它 为 Puppet 后 续 蓬勃 发 


功能 非常 


展 英 定 了 良好 的 基础 。 


差 。 尽 管 一 些 人 比较 适应 识 读 和 编写 XML 和 


面 陈述 表达 的 能 力 ， 而 这 一 


进程 将 会 区 别 对 待 XML 配置 。 


Ruby 作 为 输入 格式 的 功能 ， 使 得 Puppet 可 以 完全 用 Ruby 语 言 来 编写 。 然 而 ， 我 们 需要 谨慎 应 
能 往往 特别 多 ， 我 们 相信 系统 管理 者 应 该 能 够 在 更 高 级 别 的 系统 中 对 他 们 的 数据 中 心 予以 模型 化 。 性 能 和 功能 维护 的 最 佳 平衡 点 往往 就 是 采 


为 投资 回报 率 与 多 种 因 


素 相 关 ， 例 如 当前 的 成 本 开销 、 现 有 计算 机 


这 一 功能 ， 并 且 需 


避免 可 能 出 现 故 障 的 情况 。Ruby 的 完整 语法 功 


Puppet DSL 来 编写 显示 程序 。 


间 的 差异 、 停 机 成 本 等 ， 所 以 ， 任 何 机构 在 决定 是 否 应 将 投资 


倾斜 于 配置 管理 工具 ， 关 于 Puppet 的 花费 多 少 才 合适 的 情形 下 ， 都 可 以 先 仔 细 了 解 一 下 自身 的 实际 情况 。 如 果 企业 确实 面临 以 下 问题 ， 则 完全 可 以 使 用 Puppet 作 为 解决 方案 。 


“ 服务 器 管理 的 成 本 很 高 。 


“ 花费 大 量 资金 在 停机 维护 上 。 


“ 拥有 大 量 近乎 相同 的 服务 器 。 


“ 在 服务 器 配置 方面 需要 的 灵活 性 和 灵敏 性 。 


问题 四 “如 何 向 Puppet 贡 献 代码 ? 


Puppet 作 为 开源 软件 ， 


所 以 广 受 追捧 不 仅仅 在 于 配置 和 应 用 的 实用 性 和 灵活 性 ， 更 在 于 


Puppet 的 理解 和 运用 到 达 了 一 定 境界 之 


首先 ， 可 以 加 入 一 到 两 个 


后 ， 可 以 通过 以 下 途径 向 Puppet 贡 献 代码 。 


能 够 不 断 更 新 完善 并 吸纳 好 的 建议 。 而 Puppet 也 欢迎 广大 计算 机 爱好 者 向 Puppet 贡 献 代 码 。 在 对 


B 件 列表 ， 官 方 推荐 http://groups.google.com/group/puppet-dev/ 和 http://groups.google.com/group/puppet-users/; 或 者 可 以 加 入 irc.freenode.netIRC。 


如 果 读 者 热衷 于 开源 软件 发 展 和 推动 Puppet 的 进步 还 可 以 访问 http://projects.puppetlabs.comyprojects/puppet/wiki/Development_ Lifecycle， 这 里 有 关于 Puppet 的 开发 和 提交 方式 等 信息 。 


第 3 章 Puppet 及 相关 工具 的 配置 与 安装 


万 事 开 头 难 ， 所 以 本 章 首先 重点 介绍 安装 Puppet 环 境 所 需要 的 软件 依赖 包 和 各 发 行 版 本 系统 的 安装 步骤 和 注意 事项 ， 为 读者 应 用 Puppet 黄 定 基础 ; 然后 


的 安装 方式 ，Puppet 与 版 本 控制 工具 的 整合 ， 实 现 了 线 上 配置 与 SVN 强 一 致 性 的 功能 ， 同 时 可 
Puppet 时 应 该 选用 的 版 本 控制 工 


的 安装 与 对 比 ， 进 一 步 探讨 在 使 
介绍 它 的 安装 与 应 用 。 


3.1 ”Puppet 各 环境 的 安装 


第 1 章 介绍 过 Puppet 和 其 他 的 几 个 自动 化 运 维 工具 的 异同 ，Puppet 的 优势 有 很 多 ， 安 装 方便 只 是 
的 安装 是 多 么 简单 。 由 于 Puppet 是 用 Ruby 语 言 编写 的 ， 所 以 先 从 Ruby 版 本 支持 Puppet 状 况 讲 起 ; 接着 介绍 包 管理 工 


本 加 


目前 Puppet 提 供 了 对 多 系统 、 多 环境 的 支持 ， 但 不 论 是 UNIX/Linux 系 列 操作 系统 ， 还 是 微软 的 Windows 系 列 


的 安装 方式 及 


Ruby 不 同 版 本 对 Puppet 的 支持 状况 


区 别 ; 最 


以 对 线 上 文件 进行 版 本 控制 ， 以 便 出 现 问题 时 及 时 回 
后 了 解 Puppet 的 辅助 工 . 


中 之 一 。 本 节 介 绍 Puppet 在 各 主要 环境 下 的 安装 方式 


Ruby 语 言 开发 的 。 那 么 什么 是 Ruby? 简 而 言 之 ，Ruby 是 一 种 跨 平 台 、 面 向 对 象 的 动态 类 型 编程 语言 。 


1995 年 12 月 ， 松 本 行 弘 (Yukihiro Masumoto) [混合 了 他 喜欢 的 语言 发 布 了 一 种 


在 安装 Ruby 前 ， 先 来 看 一 下 Puppet 官 网 提供 的 Ruby 不 同 版 本 对 Puppet 版 本 的 支持 情况 ， 如 表 3-1 所 示 。 


表 3-1 Ruby 版 本 对 Puppet 版 


滚 ， 为 提供 稳定 服务 保驾 护航 ; 还 介绍 流程 版 本 控制 工具 
DNSmasq， 它 是 一 款 轻 量 级 DNS 工具 ， 为 我 们 管理 Agent 提 供 了 很 多 的 方便 ， 这 里 


介绍 Puppet 的 辅助 工 


之 一 ， 即 版 本 控制 工 


。 相信 读者 学 完 本 章 以 后 会 深 深 体会 到 Puppet 


和 源 ; 最 后 再 来 介绍 Puppet 在 各 环境 下 的 安装 方式 。 


有 函数 式 及 指令 程序 特性 的 新 语言 ， 并 以 发 布 的 月 份 一 7 月 的 诞 4 


操作 系统 ， 在 安装 Puppet 前 都 需要 先 安装 Ruby， 


因 


为 Puppet 配 置 的 管理 系统 主要 是 由 


支持 


E 石 (红宝石) 为 名 ， 将 其 命名 为 Ruby。 


Ruby 版 本 号 |P PO 2.7| Puppet 3.x 


:二 en 之 持 不 文 持 


从 表 3-1 中 我 们 了 解 到 ， 虽 然 Ruby 的 版 本 很 多 ， 但 是 Puppet 并 不 支持 所 有 的 Ruby 版 本 ， 主 流 Puppet 版 本 对 Ruby 1.8.7 支 持 要 好 一 些 ， 所 以 这 里 推荐 大 家 使 用 Ruby 1.8.7 版 本 ， 如 果 有 特殊 需求 可 以 根 
据 表 中 Puppet 支 持 状况 来 选择 相应 的 版 本 。 关 于 Puppet 支 持 的 Ruby 版 本 的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/guides/platforms.html#ruby-versions。 


3.1.2” 包 管理 系统 和 源 


包 管 理 系统 是 一 个 软件 的 安装 工具 ， 它 解决 了 软件 安装 和 软件 之 间 的 依赖 问题 。 各 UNIX/Linux 系 统 环 境 都 会 有 自己 相对 独立 的 包 管理 系统 ， 如 Fedora 和 RedHat 系 统 的 Jum (Yellow dog Updater 
Modified) ， 就 是 一 个 包 管 理 系统 ， 通 过 yum 可 以 从 指定 的 “ 源 ”自动 下 载 RPM 包 并 且 安 装 ， 自 动 处 理 依赖 性 关系 ， 并 且 一 次 安装 所 有 依赖 的 软件 包 ， 这 就 是 包 管理 系统 的 主要 用 途 与 优势 。 


我 们 再 来 看 一 下 “ 源 ”。 源 是 一 些 包含 URL 地 址 的 文件 ，URL 地 址 为 安装 软件 安装 包 的 位 置 。 如 果 包 管理 系统 是 安装 软件 的 工具 ， 那 源 就 是 它 的 软件 仓库 ， 可 以 通过 源 与 包 管理 系统 的 结合 来 满足 安装 
不 同 软件 的 需求 。 下 面 来 介绍 系统 “ 源 ” 和 Puppet 源 的 安装 。 通 常 在 使 用 系统 源 时 会 出 现 超时 的 情况 ， 具 体 的 解决 方法 我 们 将 会 在 本 节 介绍 。 接 着 介绍 “ 源 ” 的 搭建 ， 很 多 企业 内 部 网 为 了 网 络 安全 是 禁止 
访问 互联 网 的 ， 使 得 软件 包 更 新 或 安装 需要 借助 其 他 工具 实现 。 为 了 降低 软件 包 管理 的 成 本 ,我 们 可 以 搭建 企业 内 部 “ 源 ”来 解决 这 个 问题 。 


1.“ 源 ”和 Puppet 源 的 安装 


以 RedHat 系 统 为 例 来 介绍 系统 “ 源 ” 和 Puppet 源 的 安装 。 首 先 来 看 系统 源 的 安装 ， 通 常 它们 存放 在 /etc/yum.d.report 目 录 下 的 文件 中 。 我 们 在 安装 软件 时 经 常 出 现 超时 的 情况 ， 这 是 由 于 这 些 源 存放 
在 国外 的 原因 导致 。 为 了 避免 类 似 问题 的 发 生 ， 提 高 源 的 稳定 性 ， 建 议 尽量 使 用 国内 的 镜像 源 ， 目 前 像 网 易 、 搜 狐 和 淘宝 都 提供 了 一 些 镜像 源 ， 它 们 会 定时 同步 更 新 国外 的 源 到 国内 的 服务 器 ， 这 样 使 得 我 
们 更 新 软件 更 加 稳定 。 这 里 以 网 易 提供 的 源 为 例 介绍 。 将 CentOS6-Base-163.repo 文 件 下 载 到 /etc/yum.d.report 目 录 ， 其 中 CentOS6-Base-163.repo 文 件 内 包含 了 软件 包 的 网 络 地 址 路 径 ， 下 载 方式 如 
下 


# 网 易 镜像 源 
# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo -P /etc/yum.report.d/ 


这 样 网 易 的 系统 源 就 安装 好 了 ， 但 是 需要 读者 注意 ， 源 中 的 软件 只 包含 发 行 版 本 中 的 常规 软件 ， 并 不 包含 Puppet 相 关 的 软件 ， 所 以 还 要 安装 Puppet 官 网 提供 的 源 。Puppet 官 方 为 了 方便 人 们 安装 
Puppet， 将 源 打包 成 了 RPM， 所 以 可 以 通过 以 下 方式 来 安装 Puppet 的 源 : 


# 安装 Puppet 官 方 源 
# rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm 


成 功 安装 Puppet 源 后 ， 再 导入 Puppet 官 网 提供 的 GPG 密 钥 (在 网 络 传输 中 不 免 会 发 生 丢 包 或 者 软件 在 互联 网 的 转载 过 程 中 植 入 非 官方 提供 的 功能 的 情况 ，GPG 密 钥 的 作用 是 验证 包 的 完整 性 和 与 官网 
提供 的 原始 包 的 一 致 性 ) 。 


# 导入 GPG 密 钥 
# rpm -import http://yum.puppetlabs.com/RPM-GPG-KEY-puppetlabs 


最 后 系统 会 在 /etc/yum.d.report 目 录 下 生成 Puppet 的 镜像 源 。 这 时 就 可 以 用 yum 命 令 来 安装 或 升级 Puppet 及 其 相关 组 件 了 ，yum 命 令 如 表 3-2 所 示 .PuppetLabs 官 方 网 站 还 提供 了 不 同系 统 环境 的 安 
装 源 ， 更 多 的 内 容 可 以 参考 http://docs.puppetlabs.com/guides/puppetlabs_package _repositories.html。 


Yum 参 数 
2 
-y install < 软件 名 
-y update < 软件 名 > 
check-update 
Info updates 
List 
search < 关键 字 
remove < 软件 包 名 


2.“ 源 ”的 搭建 


源 的 搭建 就 是 在 企业 内 部 网 指定 能 访问 公 网 的 服务 器 ， 将 某 系 统 发 行 版 本 的 源 复制 到 该 服务 器 上 ， 所 有 内 部 网 机 器 指定 这 人 台 


统 发 行 版 本 为 例 ， 分 为 5 步 来 搭建 : 


表 3-2 yum 命 令 参 数 说 明 


说 明 


不 需 通 过 用 户 确 认 将 要 发 生 的 操作 


安 疙 指定 的 软件 包 

升级 软件 包 

检查 是 否 有 升级 的 软件 

显示 所 有 升级 软件 包 信息 
显示 所 有 已 经 安装 的 软件 包 
查找 指定 关键 字 

删除 软件 包 名 


服务 器 为 授权 访问 互联 网 的 机 器 进而 更 新 与 安装 软件 。 以 笔者 使 


1) 选择 国内 镜像 下 载 ， 这 样 下 载 速度 会 有 保障 。 以 下 为 搜狐 提供 的 CentOS 镜 像 下 载 地址 。 


CentOS 系 


# http://mirrors.sohu.com/centos/6.5/isos/x86_64/CentOS-6.5-x86 64-bin-DVD]1 .iso 
# http://mirrors.sohu.com/centos/6.5/isos/x86 _ 64/CentOS-6.5-x86 64-bin-DVD2.iso 


2) 在 本 机 创建 临时 挂 载 点 ， 挂 载 下 载 后 的 镜像 文件 。 


# mkdir ios mountl1 ios mount2 
# mount -oO Toop -t iso9660 CentOS-6.5-x86 64-bin-DVD1.iso ios _mount1 
# mount -oO loop -t iso9660 CentOS-6.5- x86 64-bin-DVD2.iso ios mount2 


3) 复制 挂 载 的 镜像 文件 到 指定 目录 ， 并 创建 yum 索 引 。 


# 创 
# mkdir a/ yom | repodata/centos6.5/x86_ 64 
# 和 录 


# cp ios _ mount1/* /data/yum repodata/centos6.5/x86 64 

# cp ios mount2/Packages/* Jdata/yum repodata/centos6.5/x86 64/Packages 
# 创建 yum 索 引 

# createrepo -p -d -o /data/yum repodata/centos6.5/x86 64 

/data/yum repodata/centos6.5/x86 _ 64 


加 注意 新 加 入 的 RPM 软 件 包 ,需要 通过 createrepo--update/data/yum_repodata/centos6.5/x86_64 更 新 本 地 源 。 


4) 为 本 机 的 yum 仓 库 搭建 Web 服 务 。 以 Nginx 为 例 来 搭建 Web 服 务 器 。 


安装 Nginx 软 件 包 


install nginx 
angin. con 八 件 ， 指定 发 布 目录 为 刚 创建 的 目录 路 径 /data/yum _repodata/ 
root /data/yum repodata/ 
启动 Nginx 


service nginx restart 


埋 井 埋 井 井 井 


5) 在 需要 更 新 软件 包 的 服务 器 上 指定 搭建 好 的 源 。 


# 删除 原 有 的 新 建 /etc/yum.repos.d/ 目 录 下 后 级 为 .repo 的 文件 
# rm -rf /etc/yum.repos.d/*.repo 


# 新 建 /etc/yum.repos.d/centos_6_5.repo, 内 容 如 下 (注意 xx.xx.xx.xx 为 自己 搭建 的 CentOS 6.5 源 的 Nginx 监 听 的 IP，yyyy 为 端口 ) 


[base] 

name=centos6 
baseurl=http://xx.xx.xx.xx:yyyy/centos6.5/x86_64 
gpgcheck=0 

# 更 新 配置 


# yum clean all 
# yum makecache 


3.1.3 在 RedHat 企 业 版 或 CentOS 上 安装 Puppet 


在 确认 包 管理 系统 和 源 已 经 安装 的 基础 上 再 来 安装 Puppet。Puppet 的 安装 顺序 是 首先 安装 Ruby 和 Ruby-lib 相 关 扩 展 包 ， 然 后 安装 Ruby-shadow (此 包 作用 是 在 Puppet 中 可 以 通过 user 资 源 来 管理 系 
统 账户 的 密码 ) ， 最 后 安装 Puppet 的 相关 环境 。 


1.Ruby 的 安装 


在 RedHat 企 业 版 或 CentOS 的 发 行 版 本 上 安装 Puppet 时 推荐 使 用 um， 它 可 以 根据 计算 出 来 的 软件 依赖 关系 进行 相关 的 升级 、 安 装 、 删 除 等 操作 。 首 先 需要 在 系统 中 打开 终端 界面 输入 如 下 命令 ， 来 安 
装 Ruby 相 关 环境 。 


# Yum install ruby ruby-libs ruby-shadow 


2.Puppet 的 安装 


安装 好 Ruby 环 境 后， 以 同样 的 方式 可 以 在 Puppet 机 器 上 安装 Puppet、Puppet-server 和 Facter。Puppet 软 件 包 包含 了 Agent 程 序 ，Puppet-server 软 件 包 包含 了 Master 程 序 ，Facter 是 一 个 收集 系统 
信息 上 报 给 Master 的 工具 ,具体 的 安装 命令 如 下 : 


# yum install puppet puppet-server facter 


3.1.4 在 Debian 和 Ubuntu 上 安装 Puppet 


Debian 和 Ubuntu 发 行 版 本 是 个 人 用 户 使 用 比较 多 的 版 本 。 特 别 是 Ubuntu， 笔 者 在 初学 Linux 时 也 使 用 过 Ubuntu 发 行 版 。Debian 和 Ubuntu 版 本 的 安装 顺序 与 RedHat 企 业 版 或 CentOS 的 发 行 版 安装 
顺序 一 致 。 具 体 步骤 如 下 。 


1.Ruby 的 安装 


在 Debian 和 Ubuntu 发 行 版 本 上 安装 软件 推荐 使 用 apt-get。apt-get 是 一 个 命令 ， 适 用 于 Deb 包 管理 式 的 操作 系统 ， 主 要 用 于 自动 从 互联 网 的 软件 仓库 中 搜索 、 安 装 、 升 级 、 印 载 软件 。 它 和 yum 类 
似 ， 可 以 帮助 用 户 解决 软件 包 的 依赖 问题 。apt-get 以 空格 作为 分 割 ， 安 装 Ruby 与 libshadow-ruby 命 令 如 下 : 


# apt-get install ruby libshadow-ruby 


2.Puppet 的 安装 
安装 好 Ruby 环 境 后 ， 可 以 通过 apt-get 继 续 安装 Puppet。 安 装 Puppet 的 Master、Agent 和 Facter 的 命令 如 下 所 示 : 


# apt-get install puppet puppetmaster facter 


3.1.5 “在 微软 Windows 系 列 操作 系统 上 安装 Puppet 


在 微软 Windows 系 列 操作 系统 上 安装 Ruby、Puppet 和 Facter 也 是 非常 方便 的 。 官 方 提供 了 集成 安装 软件 包 供 大 家 下 载 ， 下 载 地 址 为 https://downloads.puppetlabs.com/windows/。 这 里 有 一 点 需 
要 特别 注意 ，Puppet 对 Windows 支 持 的 版 本 比较 特殊 ， 其 从 2.6.0 版 本 后 开始 支持 微软 的 Windows 系 列 操作 系统 ， 目 前 支持 的 平台 如 下 : 


* Windows Server 2003/2003R2 
* Windows Server 2008/2008R2 
* Windows 7 


@ 注 意 目前 Puppet 只 支持 微软 Windows 系 列 系 统 的 Agent， 尚 未 支持 Master。 


要 在 Windows 上 安装 Puppet， 只 需 到 Puppet 官 网 下 载 集成 安装 包 后 双击 安装 就 可 以 了 ， 如 图 3-1 所 示 。 集 成 软件 安装 包 会 自动 安装 Puppet、Facter 和 Ruby 等 相关 软件 ， 如 图 3-2 所 示 。 这 部 分 内 容 非 
常 简单 ， 这 里 就 不 过 多 介绍 了 。 


[Ee Puppet Setuap 


Puppet 


Welcome to the Puppet Setup Wizard 


This wil instal Puppet 2.7, 12 and configure the system to 
fetch configurations every half hour. 


This version of Puppet will Work with puppet masters running 
Puppet 2,7 or higher, including all Puppet Enterprise releases 
Nce 2.5, 


3-1 Windows 安 装 Puppet 


| Foppet Setap 


End-User Livcense Agreenvent 


License Summary: 


Puppet - Apache 2.0 

Facter - Apache 2.0 

ruby - Ruby License 

rubyinstaller - Modified BSD License (3-clause) 
sys-admin - Ruby License 

win32utils - Ruby License 

WX Toolset - Common Public License 1.0 
Elevate - MIT License 


1 accept the terms in the License Agreement 


图 3-2 Windows 安 装 Puppet 相 关 软 件 


3.1.6 ”在 Mac 上 安装 Puppet 


在 Mac (苹果 系统 ) 上 可 以 使 用 dmg 和 pkg 来 安装 软件 ， 但 是 还 可 以 通过 更 简单 的 MacPorts 工 具 来 安装 。MacPorts 与 刚 介绍 的 yum 安 装 工具 非常 相似 ， 它 可 以 帮助 我 们 直接 从 网 上 查找 软件 ， 下 载 并 
安装 它 。 首 先 安装 MacPorts 工 具 ， 然 后 再 通过 MacPorts 工 具 来 安装 Ruby， 最 后 介绍 通过 官方 网 安装 Facter 和 Puppet 等 工具 。 


1. 包 系统 安装 


Mac 系 统 的 包 管理 系统 与 其 他 发 行 版 本 有 些 不 同 ， 它 有 自己 的 独立 安装 方式 。 这 里 推荐 通过 MacPorts 工 具 来 安装 相关 软件 包 。 可 以 通过 http://www.macports.org/install.php 来 下 载 Mac 发 行 版 本 的 
MacPorts 工 具 。 


目前 Macport 支 持 Mac 以 下 几 种 版 本 : 
* OS X10.9Mavericks 

“ OS X 10.8Mountain Lion 

“ OS X 10.7Lion 


更 早 版 本 ， 请 参考 http://www.macports.org/install.php#installing。 


# 这 里 笔者 以 0S X 10.7 Lion 版 本 介绍 , 下载 MacPorts 工 具 
# wget https://distfiles.macports.org/MacPorts/MacPorts-2.2.1-10.7-Lion.pkg 


下 载 后 双击 安装 ， 如 图 3-3 所 示 。 安 装 后 可 以 通过 port 命 令 来 安装 软件 。 关 于 MacPorts 工 具 的 使 用 ， 更 多 信息 请 参考 官方 网 站 http://guide.macports.org。 


莲 安装 "MacPorts"” 


欢迎 使 月 "MacPorts" 安 装 请 


Welcome to the MacPorts for Mac OS X Installer 
全 介绍 MacPorts provides the infrastructure that allows easy installation and 
@ 请 先 阅读 management of freely available software on Mac OS X 10.9 systems. 


@ 许可 


过 This installer guides you through the steps necessary to install MacPorts 
@ 目的 宗 卷 2.2.1for Mac OS X. To get started, click Continue. 


全 安装 类 型 
全 安装 
@ 摘要 


This package was made with: 


Mac 


http-Awww.rmmacports.orgy/ 


图 3-3 ”MacPorts 安 装 界面 


2.Ruby 的 安装 


在 Mac 系 统 上 可 以 使 用 源码 安装 Ruby， 在 这 里 推荐 使 用 MacPorts 工 具 来 安装 ， 这 种 安装 方法 比较 简单 ， 其 功能 与 yum 和 apt-get 类 似 。 在 Mac 系 统 上 打开 终端 ， 执 行 以 下 命令 ， 它 会 自动 从 网 上 下 载 
Ruby-1.8.7 软 件 包 并 安装 好 。 


# port install ruby ruby-libs 


3.Facter 的 安装 


Puppet 官 网 提供 Mac 版 本 的 Facter 安 装 包 ， 下 载 地 址 为 http://downloads.puppetlabs.com/mac/facter-1.6.16.dmg。 从 网 站 上 下 载 后 直接 双击 软件 包 ， 按 照 指示 顺序 安装 即 可 ， 如 图 3-4 所 示 。 


七 安装 "facter-1.6.16" 


欢迎 使 用 "facter-1.6.16" 安 装 器 


安装 器 将 引导 您 完成 安装 此 软件 所 需要 的 步骤 。 


图 3-4 在 Mac 系 统 上 安装 Facter 


4.Puppet 的 安装 


Puppet 官 网 提供 Mac 版 本 的 Puppet 安 装 包 ， 下 载 地 址 为 http://downloads.puppetlabs.com/mac/puppet-2.7.20.dmg。 同 样 从 官网 下 载 后 直接 双击 软件 包 ， 按 照 指示 顺序 安装 即 可 ， 如 图 3-5 所 示 。 


读 安装 "puppet-2.7.20” 


欢迎 使 用 puppet-2.7.20" 安 装 器 


目 介绍 
© 目的 宗 卷 


@ 安装 类 型 安装 器 将 引导 您 完成 安装 此 软件 所 需要 的 步 强 。 


@ 安装 
@ 摘要 


IANA Wt 


图 3-5 在 Mac 系 统 上 安装 Puppet 


3.1.7 ”通过 RubyGems 安 装 Puppet 


安装 好 Ruby 后 ， 也 可 以 通过 Ruby 的 RubyGems 来 安装 Puppet 和 Facter。RubyGems 是 一 个 用 于 对 Rails 组 件 进行 打包 的 Ruby 打 包 系 统 ， 功 能 类 似 于 Linux 下 的 apt-get 工 具 。 它 提供 一 个 分 发 Ruby 程 序 


和 库 的 标准 格式 ， 还 提供 一 个 管理 程序 包 安 装 的 工具 。 以 下 是 通过 RubyGems 的 gem 命 令 来 安装 Puppet 和 Facter 的 方法 。 


gem 命 令 默 认 使 用 Ruby 官 方 提供 的 镜像 源 ， 由 于 镜像 源 在 国外 不 是 很 稳定 ， 推 荐 使 用 淘宝 提供 的 镜像 源 [站 ， 更 换 源 方式 如 下 : 


#ruby.taobao.org 

# gem sources --remove https://rubygems.org 
# gem sources -a http://ruby.taobao.org 

# gem sources -1 


以 下 为 通过 gem 命 令 来 安装 Puppet 与 Facter。 


# gem install puppet facter 


RubyGems 会 根据 操作 系统 发 行 版 本 来 自动 匹配 适合 的 Puppet 和 Facter 版 本 。 需 要 注意 的 是 Puppet 官 网 并 不 推荐 以 RubyGems 的 形式 来 安装 Puppet， 
本 中 的 Puppet 支 持 并 不 好 ， 通 过 它 安装 软件 时 可 能 会 出 现 一 些 错误 ， 特 别 是 对 于 刚 接触 Puppet 的 用 户 ， 会 增加 学 习 的 成 本 。 


3.1.8 ”源码 编译 Puppet 


为 RubyGems 对 比较 老 的 UNIX/Linux 发 行 版 


Puppet 源 码 编译 安装 与 前 几 节 介绍 的 通过 系统 (yum、apt-get、RubyGems) 安装 相 比 要 稍微 复杂 一 些 ， 同 样 Puppet 官 方 网 站 也 不 推荐 以 这 样 的 形式 安装 ， 但 是 在 一 些 特殊 场景 下 ， 还 是 需要 通过 源 
码 编译 安装 Puppet。 以 笔者 的 工作 环境 为 例 ， 为 确保 网 络 安全 ， 内 网 禁止 访问 互联 网 资源 ， 笔 者 只 能 通过 从 互联 网 下 载 源码 包 ， 将 源码 包 传 入 内 网 服务 器 ， 在 内 网 一 台 服 务 器 上 通过 源码 编译 的 方式 来 安装 


Ruby、Puppet 和 Facter。 下 面 介绍 通过 源码 方式 安装 Ruby、Puppet 和 Facter 的 过 程 。 


1.Ruby 的 安装 


可 以 到 Ruby 官 网 (http://ftp.ruby-lang.org/pub/ruby/) 下 载 Ruby 1.8.7 版 本 。 在 安装 Ruby 时 ，Puppet 官 方 网 站 建议 安装 以 下 Ruby 的 扩展 支持 ， 它 们 通常 是 Puppet 在 配置 管理 服务 器 时 需要 用 到 的 


库 与 模块 。 
* base64 


“cg 


* digest/md5 


“ete 


* fileutils 

* ipaddr 

* openssl 

* strscan 

* syslog 

“ur 

* webrick 

* webrick/https 
* xmlrpc 


首先 下 载 ruby-1.8.7 的 源码 程序 包 ， 下 载 后 解压 ， 然 后 进入 源码 包 。 


# wget http://ftp.ruby-lang.org/pub/ruby/ruby-1.8.7-p358.zip 
# unzip ruby-1.8.7 
# cd ruby-1.8.7 


源码 编译 Ruby 和 很 多 传统 的 UNIX/Linux 软 件 安装 方法 一 样 ， 分 为 3 步 ， 即 configure (配置 ) 、make (编译 ) 和 make install (安装 ) 。 安 装 过 程 如 下 。 


步骤 1 配置 Ruby 环 境 ， 并 通过 prefix 参 数 指定 它 的 安装 目录 。 


# ./configure --prefix=/usr/local/puppet 


步骤 2 编译 Ruby 环 境 。 


# make 


步骤 3 安装 编译 好 的 Ruby 环 境 。 


# make install 


通过 安装 configure 参 数 将 Ruby 安 装 到 /usr/local/puppet 目 录 下 。Ruby 安 装 完成 后 ， 需 要 再 次 安装 Ruby 的 扩展 支持 。 这 里 需要 注意 一 下 环境 变量 ， 因 为 我 们 安装 Ruby 的 位 置 并 不 在 系统 环境 变量 中 ， 


所 以 需要 手动 导入 系统 环境 变量 。 安 装 过程 如 下 : 


export PATH=$PATH:/usr/local/puppet/bin/:/usr/local/puppet/sbin/ 
ruby -r base64 -e "puts:installed" 

ruby -r cgi -e "puts:installed" 

ruby -r digest/md5 -~e "puts:installed" 
ruby -r etc -e "puts:installed" 

ruby -r fileutils -e "puts:installed" 
ruby -r ipaddr -e "puts:installed" 

ruby -r openssl -~e "puts:installed" 

ruby -r strscan -~e "puts:installed" 

ruby -r syslog -e "puts:installed" 

ruby -r uri -~e "puts:installed" 

ruby -r webrick -e "puts:installed" 

ruby -r webrick/https -e "puts:installed" 
ruby -r xmlrpc/client -e "puts:installed" 


非 井 井 井 井 井 井 音 井 井 间 井 间 间 


安装 Ruby-1.8.7 版 本 后 还 要 安装 ruby-shadow (下 载 地 址 https://github.com/apalmblad/ruby-shadow) ， 之 前 已 经 介绍 过 它 的 用 途 ， 这 里 用 的 是 ruby-shadow-2.1.4 版 本 。 


tar -xVzf apalmblad-ruby-shadow-2.1.4-0-g248703f 
ruby extconf.rb 

make 

make install 


非 井 井 非 


2.Facter 安 装 


先 要 到 Puppet 官 方 网 站 http://puppetlabs.com/downloads/facter/ 下 载 Facter， 下 载 后 通过 以 下 方式 编译 安装 Facter， 这 里 以 facter-1.7.4 为 例 。 


# tar -zxvf facter-1.7.4.tar.gz 
# cd facter-1.7.4/ 
# ruby install.rb 


3.Puppet 安 装 


接 下 来 安装 Puppet。Puppet 源 码 下 载 地 址 为 http://puppetlabs.com/downloads/puppet/。 在 下 载 Puppet 后 需要 注意 Puppet 与 Ruby 对 应 版 本 ， 这 里 以 Puppet 2.7.25 为 例 。 


# tar -zxvf puppet-2.7.25.tar.gz 
# cd puppet-2.7.25/ 
ruby install.rb --full 


外 提示 通过 Puppet 源 码 编译 安装 后 ， 切 英 急 着 删除 源码 包 ， 可 以 将 源码 包 中 的 配置 ， 如 puppet.conf、auth.conf、fileserver.conf 和 和 tagmail.conf 模 板 文件 复制 到 /etc/puppet 目 录 下 。 


3.1.9 ”源码 打包 RPM 


在 前 面 讲解 了 通过 源码 编译 的 方式 安装 Puppet 的 原因 ， 即 一 些 企业 内 网 为 了 网 络 安全 禁止 内 网 与 互联 网 的 服务 器 进行 通信 。 利 用 上 面 介 绍 的 方法 ， 在 一 台 或 几 台 服务 器 上 源码 编译 Ruby 和 Puppet 还 可 
以 ， 如 果 机 器 比较 多 ， 那 么 进行 源码 编译 也 是 需要 一 定 成 本 的 。 所 以 推荐 大 家 在 一 台 服 务 器 上 安装 好 Puppet 后 ， 将 源码 打包 成 RPM 的 形式 ， 然 后 通过 RPM 方式 进行 批量 安装 ， 这 种 方式 比较 方便 快捷 。 


那 什么 是 RPM 呢 ?RPM 是 RedHat Package Manager (RedHat 软 件 包 管 理工 具 ) 的 缩写 ， 


其 名 称 虽 然 打上 了 RedHat 的 标签 ， 但 其 原始 设计 理念 是 开放 式 的， 包括 OpenLinux、SUSE 以 及 Turbo 


。 推 荐 在 内 网 不 连通 互联 网 的 情况 下 ， 使 有 


Linux 在 内 的 很 多 发 行 版 本 都 在 使 有 


RPM 的 安装 方式 ， 这 样 比较 方便 、 快 捷 。 关 于 RPM 的 打包 方式 可 以 在 网 上 搜索 到 ， 这 里 不 做 过 多 的 介绍 。 


[由 松本 行 弘 (MatsumotoYukihiro) ， 日 本 人 。 中 学 二 年 级 时 在 父亲 的 口袋 型 电脑 Shartp PC-1210 上 以 Basic 写 了 第 一 个 程式 。1984 年 进入 筑波 大 学 第 三 学 群 资讯 (情报 ) 学 类 。 大 学 期 间 休 学 两 年 ， 从 事 基督 教 


传教 工作 。 大 学 时 在 程式 语言 研究 室 工作 ，1990 年 毕业 。1993 年 以 来 ， 一 直 从 事 Ruby 的 设计 与 开发 。 


四 关于 淘宝 Ruby 镜 像 源 ， 更 多 信息 请 参考 官方 网 站 http://ruby.taobao.org/。 


3.2 版 本 控制 工具 安装 与 配置 


其 优势 不 仅 在 于 配置 和 管理 线 上 系统 文件 ， 还 可 


以 利用 版 本 控制 工 


Puppet 是 一 款 配置 管理 工 ， 


= 


制 工 具 进 行 及 时 回 滚 ， 而 回 滚 的 功能 可 以 将 配置 文件 回 退 到 上 一 版 本 或 历史 的 某 一 版 本 ， 快 速 的 回 滚 可 以 让 我 们 将 故 | 
Subversion 和 Git， 这 两 款 工具 各 有 优势 ， 都 可 以 与 Puppet 结 合 使 用 ， 本 书 中 案例 主要 使 用 Subversion 版 本 控制 工 ; 
己 的 版 本 控制 工具 。 


版 本 控制 工具 


Puppet Master 


Puppet Agent Puppet Agent 


图 3-6 


3.2.1 ” Subversion 安装 与 配置 


对 线 上 系统 和 配置 文件 进行 版 本 控制 ， 如 
障 时 间 降 到 最 低 。 目 前 流行 的 版 本 控制 工具 有 很 多 ， 在 这 里 推荐 两 款 版 本 控制 工具 一 一 


3-6 所 示 。 这 样 ， 当 线 上 系统 出 现 问题 时 可 以 根据 版 本 控 


的 区 别 ， 以 便 读 者 选用 适合 


的 基本 安装 和 两 款 配置 工 


以 下 讲解 Subversion 和 Git 


Puppet Agent 


Puppet Agent 


Puppet 与 版 本 控制 工具 结合 


， 也 是 CVS 的 “接班 人 ”。 目 前 绝 大 多 数 开源 软件 都 使 F 


SVN 作 为 代码 版 本 管理 软件 。SVN 服 务 器 有 两 种 运行 方式 ， 即 独立 服务 器 运行 方式 和 借 


Subversion (简称 SVN) 是 近年 来 崛起 的 版 本 管理 工 . 
助 Apache 运 行 的 方式 。 借 助 Apache 运 行 方式 更 灵活 一 些 ， 而 且 Apache 有 丰富 的 扩 


1.Apache 下 载 与 安装 


展 功能 ， 所 以 在 这 里 介绍 借助 Apache 方 式 运 行 SVN， 这 种 方式 比较 方便 快捷 ， 容 易 上 手 。 


首先 需要 下 载 Apache (中 文 译名 “ 阿 帕 奇 ”) ， 它 是 一 款 流行 的 Web Server， 目 前 很 多 互联 网 网 站 均 有 使 
2.2.27.tar.gz) 为 例 ， 结 合 SVN 介 绍 配 置 、 编 译 和 安装 的 过 程 。 具 体 实现 命令 如 下 : 


。 这 里 以 Apache 2.2.27 (下 载 地 址 http://mirrors.cnnic.cn/apache/httpd/httpd- 


# tar xzvf httpd-2.2.27.tar.gz 

# cd httpd-2.2.27 

#"./configure" "--prefix=/usr/local/apache2" 
"--enable-deflate=shared" "--~enable-expires=shared" 
"--enable-static-support" "--disable-userdir""--enable-dav" 
# make && make install 


n--with-included-apr"” "--enable-so" 
"--enable-rewrite=shared" 
"--enable-dav-fs" 


2.SVN 安 装 


安装 SVN 前 首先 需要 安装 两 个 SVN 的 辅助 工具 一 一 Sqlite 和 Neon， 否 则 在 使 


SVN 时 会 不 支持 一 些 功 能 。 安 装 好 Sqlite 和 Neon 后 再 来 安装 SVN。 


体 的 安装 命令 如 下 : 


#tar xzvf sqlite-autoconf-3071300.tar.gz 
#cd sqlite-autoconf-3071300 

#./configure && make && make install 
#tar xzvf neon-0.29.6.tar.gz 

#cd neon-0.29.6 

#./configure && make && make install 
#tar xzvf subversion-1.7.5.tar.gz 


#cd subversion-1.7.5 
#./configure --with-neon 
#make && make install 


3.Apache 配 置 
借助 Apache 可 以 管理 SVN 的 Httpd.conf 文 件 ， 所 以 需要 对 Apache 进 行 简单 配置 。 主 要 的 配置 信息 如 下 。 


1) 加 载 SVN 的 模块 。 


# 添 加 如 下 模块 支持 
LoadModule dav_svn module modules/mod dav_svn.so 
LoadModule authz svn module modules/mod authz_svn.so 


2) 统一 SVN 和 Apache 的 权限 。 


# 修 改 用 户 , 保 证 访问 权限 
User puppet 
Group puppet 


3) 设置 SVN 发 布 目录 和 权限 。 


# 设置 SVN 目 录 的 访问 

<Location /svn> 

Order allow,deny 

Allow from all 

Dav svn 

SvnParentPath /datal/swn 
SvnListParentPath On 
SvnAutoversioning On 

AuthType Basic 

AuthName "Subversion repository" 
AuthUserFile /usr/local/apache2/conf/authfile 
Require valid-user 

</Location> 


上 述 提 到 的 /usr/local/apache2/conf/authfile 包 含 了 访问 SVN 的 账户 和 密码 信息 ， 可 以 通过 以 下 方式 设置 SVN 管 理 账户 的 信息 和 密码 。 


#/usr/local/apache2/bin/htpasswd -c /usr/local/apache2/conf/authfile USRNAME 


4. 启 动 Apache 


修改 完 配置 文件 后 ， 不 要 忘记 重启 Apache 后 才 会 生效 。 启 动 命令 如 下 : 


# /usr/local/apache2/bin/apachectl] restart 


5. 确 认 安 装 


启动 Apache 后 可 以 在 IE 浏 览 器 输入 Apache 的 IP 地 址 ， 即 配置 文件 中 的 192.168.1.1。 输 入 IP 地 址 后 ，IE 会 提示 用 户 输入 用 户 名 和 密码 ， 如 图 3-7 所 示 。 这 里 的 用 户 名 就 是 httpd.conf 配 置 文 件 中 设置 的 认 
证 文件 地 址 (/usr/local/apache2/conf/authfile) 中 的 用 户 名 ， 密 码 是 通过 htpasswd 命 令 设置 的 密码 ， 如 果 登 录 成 功 表示 已 经 成 功 地 安装 了 Apache 和 SVN。 


置 贡 十 二 本 于 到 大 全 


二 Welcome Mig Subversiorn repository 的 服务 羽 
南 卢 号 条 吕 碍 
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图 3-7 SVN 登 录 界面 


3.2.2 ”Git 安 装 与 配置 


Git 是 Linus Torvalds (Linux 内 核 主要 开发 和 创建 人 之 一 ) 为 了 帮助 管理 Linux 内 核 开 发 而 开发 的 一 个 开放 源码 的 版 本 控制 软件 。 很 多 著名 的 软件 都 使 用 Git 进 行 版 本 控制 ， 其 中 包括 Linux 内 核 、X.Org 服 
务 器 和 OLPC 内 核 等 项 目的 开发 流程 。Git 是 强大 的 版 本 控制 工具 ， 与 常用 的 版 本 控制 工具 CVS、Subversion 等 不 同 ， 它 采用 了 分 布 式 版 本 库 的 方式 而 不 需要 服务 器 端 软件 支持 。 开 发 者 从 服务 器 上 克隆 数据 
库 (包括 代码 和 版 本 信息 ) 到 单机 上 ， 在 没有 网 络 的 条 件 下 ， 开 发 者 就 可 以 在 单机 上 创建 分 支 、 修 改 代码 ， 并 在 单机 上 进行 提交 ， 联 网 后 可 以 与 服务 器 上 的 版 本 进行 合并 。Git 就 是 如 此 方便 快捷 。 更 多 信息 
请 参考 官方 网 站 http://git-scm.com/。 


Git 目 前 支持 UNIX/Linux 系 列 操作 系统 ， 同 时 也 支持 Windows 系 列 操作 系统 。 下 面 以 CentOS 系 统 为 例 来 讲解 安装 Git 的 过 程 。 在 安装 Git 前 需要 安装 一 些 Git 需 要 的 依赖 包 ， 具 体 如 下 。 


1.Git 依 赖 包 


安装 Git 前 首先 通过 yum 安 装 它 所 需要 的 依赖 包 和 库 文件 。 具 体 安 装 命令 如 下 : 


yum install curl 

yum install curl-devel 
yum install zlib-devel 
yum install openssl-devel 
yum install perl 

yum install cpio 

yum install expat-devel 
yum install gettext-devel 


井 井 井 井 埋 井 井 厅 


2.Git 安 装 


下 载 Git (http://git-scm.com/download) ， 确 认 依 赖 包 和 库 文件 安 装 完 没有 问题 后 ， 解 压 Git 安 装 包 直 接 配置 、 编 译 和 安装 它 。 具 体 命令 如 下 : 


# tar xzvf git-latest.tar.gz 
# ./configure 

# make 

# make install 


3.2.3 ”SVN 与 Git 的 4 点 区 别 


SVN 和 Git 作 为 两 款 比较 有 代表 性 的 版 本 控制 工具 ， 在 功能 和 应 用 方面 可 谓 各 有 干 秋 。 两 者 的 区 别 有 以 下 几 点 。 


1) Git 可 以 分 布 式 管理 版 本 库 ， 而 SVN 不 行 。Git 和 SVN 一 样 都 有 自己 的 集中 版 本 管理 服务 器 。 但 是 Git 更 倾向 于 分 布 式 管理 版 本 库 ， 也 就 是 说 每 个 开发 人 员 通 过 Git 可 以 从 中 心服 务 器 版 本 库 上 迁 出 
(check out) 一 份 代码 到 自己 机 器 的 版 本 库 中 ， 并 且 在 没有 网 络 的 情况 下 仍然 可 以 继续 开发 ， 并 在 本 地 提交 相应 数据 。 而 SVN 却 做 不 到 这 一 点 。 


2) Git 把 内 容 按 元 数据 方式 存储 ， 而 SVN 是 按 文 件 方式 存储 。 在 使 用 SVN 和 Git 时 会 发 现 两 个 版 本 控制 工具 分 别 有 .svn 目 录 和 .git 目 录 。SVN 把 文件 的 元 信息 隐藏 在 .svn 文 件 夹 里 。 而 Git 的 目录 体积 要 比 
SVN 大 很 多 ， 因 为 Git 目 录 是 处 于 机 器 上 的 一 个 克隆 版 的 版 本 库 ， 它 拥有 中 心 版 本 库 上 所 有 的 东西 ， 例 如 标签 、 分 支 、 版 本 记录 等 。 


3) Git 分 支 和 SVN 分 支 的 不 同 。SVN 中 的 分 支 一 点 也 不 特别 ， 它 就 是 版 本 库 中 另外 的 一 个 目录 。 如 果 我 们 想 知道 是 否 合并 了 一 个 分 支 ， 需 要 手工 运行 像 svn propget svn:mergeinfo 这 样 的 命令 来 确认 
代码 是 否 被 合并 。 然 而 处 理 Git 的 分 支 却 是 相当 的 简单 和 有 趣 。 我 们 可 以 从 同一 个 工作 目录 下 快速 地 在 几 个 分 支 间 切换 。 我 们 可 以 很 容易 发 现 未 被 合并 的 分 支 ， 而 通过 Git 也 可 以 简单 而 快捷 地 合并 这 些 文件 
分 支 。 


4) Git 的 内 容 完整 性 要 优 于 SVN。 因 为 Git 的 内 容 存储 使 用 的 是 SHA-1 哈 希 算法 ， 能 保证 代码 内 容 的 完整 性 ， 确 保 在 遇 到 磁盘 故障 和 网 络 问题 时 降低 对 版 本 库 的 破坏 。 


在 这 里 我 们 总 结 了 SVN 和 Git 的 4 点 不 同 ， 读 者 可 以 根据 自己 的 需要 来 选用 Git 或 SVN 版 本 控制 工具 。 


3.3 ”DNS 安装 与 配置 


DNS (Domain Name System， 域 名 解析 系统 ) 主要 用 来 表示 IP 与 域名 之 间 的 映射 关系 ， 是 学 习 Puppet 过 程 中 比较 重要 的 一 个 辅助 工具 ， 因 为 在 Agent 每 次 连接 Master 时 都 会 使 用 到 域名 。 如 果 通 过 
Puppet 管 理 的 Agent 较 少 ， 可 以 通过 写 hosts 的 形式 来 管理 域名 ， 但 是 在 管理 的 Agent 比 较 多 的 情况 下 通过 hosts 的 形式 来 管理 域名 的 成 本 就 相对 较 高 。 这 时 可 以 通过 开源 软件 来 搭建 一 套 DNS 域 名 解析 系 
统 ， 这 样 通过 Puppet 管 理 比较 多 的 Agent 就 方便 快捷 多 了 。 目 前 互联 网 比较 常用 的 搭建 DNS 的 软件 是 Bind。 其 功能 强大 ， 但 是 配置 复杂 ， 所 以 在 这 里 推荐 一 款 轻 量 级 的 DNS 软 件 一 一 DNSmasq。 


作为 用 于 配置 DNS 和 DHCP 的 工具 ，DNSmasq 小 I5 有 目 方 便 ， 适 用 于 小 型 网 络 ， 它 提供 了 DNS 功能 和 可 选择 的 DHCP 功 能 。 它 服务 那些 只 在 本 地 适用 的 域名 ， 这 些 域名 是 不 会 在 全 球 的 DNS 服务 器 中 出 
现 的 。 更 多 信息 请 参考 官方 网 站 www.thekelleys.org.uk。 


DNSmasq 安 装 方便 快捷 ， 配 置 文件 简单 易 懂 ， 所 以 结合 DNSmasq 与 Puppet 来 管理 企业 内 网 是 最 佳 的 选择 。 


榴 


1.DNSmasq 安 装 


首先 到 DNSmasq 的 官方 网 站 下 载 最 新 版 本 的 DNSmasq。 下 载 后 通过 源码 编译 方式 安装 DNSmasq， 安 装 完成 后 需要 将 DNSmasq 安 装 目 录 配 置 文件 dnsmasq.conf.example 复 制 到 /etc/ 下 。 以 下 为 详 
细 的 安装 步骤 ， 即 下 载 、 编 译 和 安装 ， 安 装 后 可 以 将 DNSmasq 主 配置 文件 复制 到 /etc 目 录 下 。 


# wget http://www.thekelleys.org.uk/dnsmasq/dnsmasq-2.45.tar.gz 
# tar -xvzf dnsmasq-2.45.tar.gz 

# cd dnsmasq-2.45 

# make && make install 

# cp dnsmasq.conf.example /etc/dnsmasq.conf 


2.DNSmasq 的 配置 


编辑 /etc/dnsmasq.conf 的 主 配置 文件 的 内 容 如 下 ， 根 据 如 下 配置 信息 ， 我 们 只 要 简单 修改 一 下 就 可 以 使 用 DNSmasq 了 。 


user=dnsmasq # 启动 账号 
group=users # 启动 组 号 
interface=eth1 # 绑 定 网 络 接口 


listen-address=192.168.0.1 # 绑 定 IP 
bind-interfaces 


resolv-file=/etc/resolv.conf # 域名 解析 文件 
addn-hosts=/etc/hosts # 域名 解析 文件 
3. 编 辑 域名 解析 文件 


根据 /etc/dnsmasq.conf 配 置 文 件 中 的 addn-hosts 参 数 ， 将 域名 解析 配置 文件 改 为 系统 默认 定义 的 /etc/hosts 文 件 ， 我 们 可 以 将 IP 和 对 应 的 虚拟 域名 追加 到 /etc/hosts 文 件 中 ， 来 实现 DNSmasp 域 名 与 
IP 映 射 关 系 ， 具 体 如 下 。 


echo "192.168.0.1 www.example.com" >> /etc/hosts 


4. 启 动 DNSmasq 


启动 DNSmasq 也 是 非常 方便 的 ， 只 需 执行 以 下 命令 : 


# /usr/local/sbin/dnsmasq 


启动 后 可 通过 netstat 系 统 命令 查看 DNSmasq 是 否 启动 成 功 ， 如 果 53 端 口 已 成 功 启动 ， 则 说 明 DNSmasq 已 经 正常 工作 。 


localhost@# netstat -tnl 


tcp 0 0 192.168.0.1:53 ss LISTEN 
tcp 0 0 127.0,.071:53 QD dD LISTEN 
tcp 0 0 fe80;:al9:a6ff:fe27::53 ;::* LISTEN 
top 0 0 11:53 5 


到 目前 为 止 已 经 成 功 启 动 了 DNSmasq， 现 在 可 以 将 DNSmasq 服 务 器 IP 写 入 Agent 的 resolv.conf 文 件 中 ， 实 现 域名 与 |P 的 映射 关系 ，DNSmasq 将 作为 一 个 内 网 域名 解析 系统 而 发 挥 作用 。 


第 4 章 ”Puppet 目 录 结 构 、 配 置 文件 和 命令 详解 


在 第 3 章 中 介绍 了 在 各 系统 环境 下 Puppet 安 装配 置 的 方法 ， 并 介绍 了 与 Puppet 相 关 的 版 本 控制 和 DNS 等 辅助 工具 的 安装 和 配置 ， 这 些 内 容 为 后 续 章 节 知识 的 介绍 葛 定 了 基础 。 本 章 将 从 Puppet 目 录 结 
构 讲 起 ， 介 绍 目录 结构 和 内 部 的 配置 文件 ， 并 通过 案例 来 介绍 这 些 配置 文件 的 使 用 方法 和 作用 ， 让 读者 对 Puppet 整 体 配 置 及 目录 结构 有 一 个 清晰 的 了 解 。 然 后 按照 命令 来 分 类 介绍 Puppet 的 常用 命令 和 参 
数 ， 这 会 有 效 地 降低 读者 的 学 习 成 本 。 我 们 首先 讲解 源码 目录 结构 与 主 配置 文件 及 目录 结构 ; 接着 介绍 Puppet 的 一 些 主 配置 文件 的 作用 ， 配 置 文件 的 格式 与 案例 ; 最 后 对 Puppet 命 令 进行 了 分 类 ， 按 照 分 
类 讲解 Puppet 的 命令 、 常 用 参数 和 应 用 案例 。 


4.1 ”源码 与 主 配置 文件 的 目录 结构 


本 节 主 要 介绍 安装 Puppet 后 源码 目录 结构 和 主 配置 文件 及 目录 ， 让 我 们 对 整个 Puppet 的 结构 有 一 个 大 概 的 认识 。 这 里 以 源码 安装 方式 为 例 来 介绍 Puppet 的 目录 结构 ,源码 安装 的 优势 是 目录 结构 比较 
统一 ， 便 于 介绍 与 讲解 。 运 用 源码 安装 方式 需要 将 Ruby、Facter 和 Puppet 安 装 到 指定 的 目录 中 ， 如 /usr/local/puppet 目 录 。 通 常 如 果 配 置 是 Agent 的 话 ，Puppet 的 源码 安装 后 就 基本 可 以 使 用 了 ， 但 若是 


Master 则 还 需要 调整 一 下 /etc/puppet 目 录 的 配置 文件 才能 正常 工作 。 要 想 调整 目录 中 的 配置 文件 ， 应 该 先 对 目录 的 结构 有 一 个 整体 的 理解 。 下 面 就 来 先 了 解 一 下 源码 目录 结构 ， 再 了 解 主 配置 文件 及 目录 
的 结构 。 


注意 RPM/yum 安 装 方式 会 将 Puppet 的 命令 安装 到 系统 默认 命令 目录 中 ， 可 以 在 /sbin 和 /bin 目 录 中 找到 它们 的 源 程序 、 配 置 文件 与 根 目 录 ，Puppet 开 源 社区 版 默认 配置 路 径 为 /etc/puppet 目 录 。 


1. 源 码 目录 结构 


官方 网 站 并 不 推荐 通过 源码 编译 安装 Puppet 及 相关 环境 ， 但 是 由 于 一 些 企业 内 部 网 络 系统 安全 限制 ， 禁 止 通过 yum 从 互联 网 安装 软件 包 ， 所 以 了 解 源码 安装 还 是 有 必要 的 。 源 码 安装 可 以 指定 Ruby、 
Facter 和 Puppet 的 安装 路 径 为 统一 目录 ， 这 样 可 以 使 后 续 Puppet 源 码 迁 移 到 其 他 机 器 更 加 方便 。 


Puppet 2.7.25 版 本 的 源码 方式 安装 目录 结构 和 存放 内 容 如 下 : 


1 /usr/local/puppet 

区 | bin/ 

3 I |_ erb facter filebucket irb pi puppet puppetdoc ralsh rdoc ri ruby testrb 
4 |_ sbin/ 

号 | |_Puppetca puppetd puppetmasterd puppetqd puppetrun 

6 | ib/ 

7 | ruby 

8 |_ share/ 

Ej Li 


|_man 


下 面 简单 分 析 一 下 上 面 的 源码 目录 结构 和 相关 的 命令 含义 。 


“ 第 1 行 : Ruby、Facter 和 Puppet 源 码 安装 的 根 目 录 ， 目 录 位 置 由 安装 时 的 configure 参 数 指定 。 
“ 第 2~3 行 : Ruby、Facter 和 Puppet 命 令 的 存放 目录 。 

“ 第 4~5 行 : 系统 管理 员 命令 存放 目录 。 

“ 第 6~7 行 : Ruby 的 运行 环境 存放 目录 ， 另 外 还 包含 Puppet 源 码 等 。 

: 第 8~9 行 : Puppet 的 帮助 手册 存放 目录 。 
从 第 2~ 5 行 目录 内 存放 命令 介绍 如 表 4-1 所 示 。 


表 4-1 Puppet 目 录 相 关 命 令 介绍 


少 


命令 作 用 


AN 
防 


i 


i Ruby 交 瑟 式 sbel Ruby 二 过 制程 序 


pi 资源 帮助 文档 Ruby 调试 工具 


puppet Puppet 的 命令 集合 证 书签 名 授权 命令 


puppetdoc 文档 生成 工具 Agent 守护 进程 


puppetmasterd Master 守护 进程 puppetqd Puppet 的 队列 
puppetrun 客户 端 更 新 工具 | 


2. 主 配置 文件 及 目录 结构 


Puppet 成 功 安装 后 默认 开源 社区 版 本 主 配 置 文件 均 存 放 在 /etc/puppet 目 录 。 下 面 来 看 一 下 /etc/puppet/ 的 目录 结构 。 


主 配置 文件 及 目录 结构 如 下 : 

1 /etc/puppet 

2 _ auth.conf 

3 autosign.conf 

4 二 files/ 

5 fileserver.conf 

6 二 manifests/ 

7 1_ site.pp 

8 module/ 

9 |_apache 

10 |_template/ 
11 | | _mainfests/ 
12 | |_init.pp 

1 |-Eile/ 

14 Puppet .conf 

15 |_ sel/ 

16 |_ tagmail.conf 

17 |_ namespaceauth.conf 


下 面 简单 分 析 一 下 上 面 的 目录 结构 和 配置 文件 的 作用 。 


“ 第 1 行 : /etc/puppet 目 录 是 Puppet 的 主 配 置 文件 的 根 目录 。 


“ 第 2 行 : auth.conf 配 置 文件 是 Agent 访 问 Master 的 权限 认证 文件 ， 它 的 官方 名 称 是 HTTP NetWork API， 具 体 在 4.2.2 节 介绍 。 


“ 第 3 行 : autosign.conf 配 置 文件 是 Master 对 Agent 证 书 自动 签名 的 配置 文件 ， 具 体 在 4.2.4 节 介绍 。 


' 第 4~5 行 : 


“ 第 6~7 行 : 


fileserver.conf 配 置 文件 是 Master 向 Agent 同 步 静态 文件 的 配置 文件 ， 具 体 在 4.2.5 节 介绍 。 


Agent 入 口 的 导航 文件 与 远 辑 文件 等 。 此 目录 中 存放 的 文件 又 称 清 单 文件 ，manifests 目 录 与 module 目 录 是 Puppet 配 置 管理 的 两 个 重要 的 组 成 部 分 ， 具 体 在 第 5 章 介绍 。 


: 第 8~13 行 : Puppet 的 module 目 录 又 称 基础 模块 ， 它 的 配置 文件 目录 信息 和 结构 具体 在 第 5 章 介绍 。 


“ 第 14 行 : puppet.conf 配 置 文件 是 Master 守 护 进 程 的 主要 配置 文件 ， 具 体 在 4.2.1 节 介绍 。 


第 15 行 : 


数字 证 书 文件 的 缓存 目录 ，Master 在 此 目录 存放 CA 证 书 和 已 签名 授权 的 Agent 证 书 文件 列表 ，Agent 在 此 目录 存放 被 Master 授 权 的 证 书 文件 。 


“ 第 16 行 : tagmail.conf 文 件 是 Puppet 邮 件 发 送 配置 文件 ， 具 体 在 4.2.6 节 介绍 。 


“ 第 17 行 : namespaceauth.conf 文 件 是 名 称 空间 配置 文件 ， 具 体 在 4.2.3 节 介绍 。 


加 注意 ”无论 通 过 什么 方式 安装 Puppet 的 开源 社区 版 本 ， 它 们 的 默认 配置 文件 根 路 径 都 是 /etc/puppet 目 录 。 


4.2 Puppet 主 要 配置 文件 介绍 


通常 我 们 使 


Puppet 的 C/S 架 构 工 作 模 式 。 在 Puppet 安 装 后 如 果 配 置 的 机 器 是 Agent 就 不 需要 太 多 的 复杂 配置 ， 因 为 Agent 可 以 守护 进程 方式 运行 或 运行 在 crontab 定 时 任务 中 。 如 果 是 初学 Puppet 我 


们 通常 将 它 运行 在 crontab 定 时 任务 中 (一 般 在 crontab 定 时 任务 中 运行 ，Agent 无 需 配置 文件 ) 。 但 Master 必 须 以 守护 进程 方式 运行 在 服务 器 上 ， 这 就 需要 先 了 解 一 些 主要 的 配置 文件 的 作用 ， 才 能 掌握 
Master。Master 的 主要 配置 文件 有 puppet.conf、auth.conf、namespaceauth.conf、autosign.conf、fileserver.conf 和 tagmail.conf。 下 面 逐 一 介绍 这 些 配置 文件 。 


@ 注 意 介 


绍 配置 文件 时 主要 以 开源 社区 版 本 为 例 ， 如 果 情 况 特殊 会 进行 注释 。 


4.2.1 puppet.conf 介 绍 


/etc/puppet/puppet.conf 配 置 文件 (下 称 puppet.conf) 是 Master 的 守护 进程 的 主 配置 文件 ， 文 件 中 定义 了 Master 的 运行 环境 、 启 动 加 载 文件 、Puppet 的 配置 管理 程序 和 授权 Agent 的 证 书目 录 等 


主要 信息 。 守 护 进程 启动 前 会 根据 此 配置 文件 信息 对 系统 环境 进行 预 检 ， 预 检 成 功 后 守护 进程 才 会 启动 。 下 面具 体 讲解 各 系统 环境 下 puppet.conf 配 置 文件 的 位 置 、 文 件 格式 和 案例 。 


1.puppet.conf 配 置 文件 的 位 置 


为 了 保证 本 


小 节 信 息 的 完整 性 ， 笔 者 将 介绍 UNIX/Linux 系 统 和 微软 Windows 系 统 中 不 同 版 本 的 主 配置 puppet.conf 文 件 的 位 置 。 建 议 初 学 Puppet 的 读者 主要 了 解 一 下 UNIX/Linux 系 统 开源 社区 版 本 的 


puppet.conf 文 件 位 置 即 可 。 


1) UNIX/Linux 系 统 环境 下 puppet.conf 配 置 文件 存放 的 位 置 如 下 : 
“ Puppet 企 业 版 本 的 配置 文件 存放 位 置 是 /etc/puppetlabs/puppet 目 录 。 
“ Puppet 开 源 社区 版 本 的 配置 文件 存放 的 位 置 是 /etc/puppet 目 录 。 
GG 注意 ”在 UNIX/Linux 系 统 环境 下 ， 如 果 还 是 不 确定 puppet.conf 配 置 文件 的 位 置 的 话 ， 可 以 通过 puppet agent--configprint confdir 命 令 来 查看 。 
2) 微软 Windows 系 统 环境 下 puppet.conf 配 置 文件 存放 的 位 置 如 下 : 
: 微软 Windows 2003 系 统 配置 文件 的 位 置 是 %ALLUSERSPROFILE%NPuppetLabsNpuppetNetc 目 录 。 
: 微软 Windows 7 系统 配置 文件 的 位 置 是 %WPROGRAMDATA%\PuppetLabs\puppet\etc 目 录 。 
: 微软 Windows 2008 系 统 配置 文件 的 位 置 是 %PROGRAMDATA%ANPuppetLabsNpuppetNetc 目 录 。 
注意 在 微软 Windows 系 列 系统 上 Puppet 配 置 文件 支持 使 用 Windows 风 格 的 “CRLF 一 Carriage-Return Line-Feed 回 车 换行 符 ” 作 为 结尾 ，UNIX/Linux 系 列 系统 则 要 用 LE 风格 结束 符 作为 结尾 。 在 微软 


Windows 系 列 系统 上 Puppet 企 业 版 和 开源 社区 版 的 配置 文件 位 置 是 统一 的 目录 。 


2.puppet.conf 配 置 文件 格式 


puppet.conf 配 置 文件 书写 格式 和 INI 文 件 格式 非常 相似 ，INI 格 式 文件 由 3 个 部 分 组 成 ， 分 别 是 [section] 节 、setting=value 参 数 和 “;” 注 解 。 其 中 [section] 代 表 一 组 配置 ，setting=value 是 组 配置 下 的 
一 个 子 集 ， 可 以 写 多 个 [section] 节 来 标识 多 组 配置 。 同 样 在 puppet.conf 文 件 中 也 有 [section] 节 的 概念 ， 不 过 这 里 称呼 它 为 区 段 。puppet.conf 配 置 文件 被 划 为 3 个 区 段 ， 每 一 区 段 用 来 配置 Puppet 的 一 个 特 
定 部 分 ，[agent] 段 用 于 Agent 部 分 配置 ，[masten] 段 用 于 Master 部 分 配置 ， 最 后 还 有 一 个 [main] 段 用 于 Puppet 的 全 局 配置 ，Puppet 所 有 组 件 都 遵循 [main] 段 指定 的 配置 。 


来 看 一 个 puppet.conf 配 置 文 件 的 案例 以 加 深 理解 ， 它 包括 的 3 个 区 段 分 别 是 [main]、[master] 和 [agent]。 分 别 来 看 一 下 这 3 个 区 段 的 内 容 作用 ， 其 中 “#” 后 边 的 内 容 为 注释 。 


1) [main] 区 段 用 于 Puppet 的 全 局 配置 。 


[main] 
# 指定 了 puppet 服 务 端的 地 址 
Server = pu pat es com 
# 是 否 实时 刷新 日 志 到 磁 
autoflush = false 
# 日 志 目 录 

logdir = /var/log/puppet 
# puppet 进 程 pid 文 件 存 放 目 录 
rundir = /var/run/puppet 


2) [Master] 区 段 用 于 Puppet 的 Master 配 置 。 


[master] 
# 报告 存放 目录 ,客户 端的 每 次 执行 会 生成 一 份 以 日 期 + 时 间 命 名 yaml 文 件 报告 
reportdir = /var/lib/puppet/reports 

# 自 动 授权 签名 配置 文件 
autosign = true 
autosign = /etc/puppet/autosign.conf 
# puppetmaster 服 st 
bindagddress = 0. 0 

# puppetmaster) i 听 端 口 
masterport = 814 

# 通过 此 参数 看 到 和 中 的 过 程 与 变化 


evaltrace = true 


3) [agent] 区 段 用 于 Puppet 的 Agent 配 置 。 


# 客户 端的 名 字 
Puppet. example.com 
行 有 台 运 维 


daemonize rue 
# 是 克 作证 书 御 沪 要 六 ,默认 是 不 允许 的 ,每 个 证 书 的 有 效 期 为 5 年 
allow duplicate certs = true 
# 是 否 上 传 客户 端 对 resouces 的 执行 结果 (Puppet 2.7 以 上 版 本 此 参数 自动 开启 ) 
report = true 
# 上 传 的 方式 
reports = store, http 
# store 上 传 时 的 地 址 
report server = puppet.example.com 
# en 
report port = 
# Pe 
reporturl = http: //192.168.1.1: 3000/reports/upload 
# tedden a ,如 果 不 设 置 此 参数 默认 为 30 分 钟 
和 = 
> rat 守 加 加 一 个 随机 时 间 (0 到 最 大 随机 时 间 之 间 的 一 个 整数 值 ) 
splay = 
# 的 
splaylimit = 
# 开奖 灾 本 站 超时 时 间 
Gon ge it = 2m 


于 加 颜色 
lor 
# 和 be 在 


ignorecache = true 


外 注意 在 2.6.0 之 前 puppet.conf 每 一 段 名字 都 以 程序 命名 ， 如 [mastef] 区 段 称 为 [puppetmasterd]，[agent] 区 段 称 为 [puppetd]。 如 果 用 户 使 用 的 是 这 种 旧 的 配置 格式 文件 ， 在 启动 更 高 版 本 的 Puppet 时 系统 会 提 
示 更 新 配置 文件 。 


3.puppet.conf 配 置 文件 案例 


puppet.conf 是 Master 守 护 进程 的 主要 配置 文件 ， 这 里 以 启动 Master 守 护 进程 的 基本 参数 为 例 来 介绍 puppet.conf 配 置 文件 。 在 修改 puppet.conf 配 置 文件 前 ， 首 先 通过 puppetmasterd--genconfig 
命令 来 生成 一 份 puppet.conf 配 置 文件 (Puppet3 以 上 版 本 已 经 不 再 提供 puppetmasterd 命 令 ， 所 以 可 以 使 用 puppet master--genconfig 来 生成 puppet.conf 文 件 ) 。 默 认 生 成 的 配置 文件 有 200 多 个 参 
数 ， 但 并 不 是 所 有 参数 都 能 用 到 ， 也 不 是 所 有 参数 都 需要 更 改 ， 很 多 参数 可 以 保持 其 默认 值 。 这 里 去 掉 一 些 没有 必要 的 参数 只 保留 启动 Master 守 护 进程 的 基本 的 参数 。 下 面 介绍 如 何 通过 这 些 基 本 参数 来 启 
动 Master 守 护 进 程 。 关 于 Master 的 参数 配置 信息 ， 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/references/latest/configuration.html。 


以 下 是 puppet.conf 配 置 文件 的 常用 配置 参数 。 


1 [master] 
2 bindagddress = 0.0.0.0 


masterport = 8140 

ssldir = /etc/puppet/server ssl 

logdir = /datal/puppet 

manifest = /etc/puppet/manifests/site.pp 
modulepath = /etc/puppet/modules 
certname = puppet .example.com 


oA 


10 [agent] 
11 report = true 


下 面 来 分 析 一 下 puppet.conf 配 置 文件 的 参数 的 含义 。 
' 第 1 行 : [mastefl 段 ， 主 要 配置 Mastet 的 参数 区 域 。 
“ 第 2 行 : bindaddress 参 数 指定 网 卡 接口 ， 如 果 不 设置 此 参数 则 默认 绑 定 在 IP 地 址 0.0.0.0 上 。 此 参数 通常 用 在 特殊 网 络 环境 下 配置 监听 指定 的 网 卡 。 
: masterport 参 数 是 Mastet 启 动 后 绑 定 的 端口 ，Puppet 启 动 端口 默认 绑 定 在 8140 上 ， 如 果 有 特殊 需求 ， 通 过 masterport 参 数 可 以 修改 Puppet 的 默认 端口 。 
“ 第 4 行 : ssldir 参 数 是 Master 存 放 签 名 文件 的 配置 路 径 。 
“ 第 5 行 : logdir 参 数 是 Master 存 放 Agent 上 报 日 志 的 路 径 。 
“ 第 6 行 : manifest 参 数 是 Agent 连 接 Master 的 起 始 配置 的 目录 。 
: 第 7 行 : modulepath 参 数 是 modules 基 础 模块 与 配置 文件 的 存放 路 径 。 
“ 第 8 行 : certname 参 数 可 以 设置 Mastet 的 FQDN (Fully Qualified Domain Name， 中 文 翻译 为 “全 称 域名 ”) ， 另 外 certname 配 置 添加 FQDN 还 可 以 解决 证 书 的 相关 问题 。 
“ 第 10 行 : [agentl 段 ， 其 主要 配置 Agent 的 参数 。 


- 第 11 行 : 开启 Agent 的 上 报 日 志 开 关 。 


这 里 介绍 了 启动 Master 守 护 进 程 的 最 基本 配置 参数 ， 可 以 参考 4.3.3 节 介绍 的 Master 启 动 方式 来 启动 守护 进程 。 


4.2.2 auth.conf 介 绍 


/etc/puppet/auth.conf 是 配置 文件 (下 称 auth.conf) 。Master 本 身 是 由 Web Server 提 供 Agent 访 问 ， 如 果 没 有 权限 控制 ，Agent 就 可 以 遍历 Master 服 务 器 上 所 有 资源 ， 这 是 非常 不 安全 的 。 所 以 
auth.conf 配 置 文件 主要 负责 Agent 访 问 Master 上 一 些 目录 和 配置 文件 的 权限 和 认证 ， 它 的 官方 名 称 是 HTTPNetwork APl。 为 了 网 络 访问 安全 ，Agent 在 访问 Master 过 程 中 ， 其 使 用 HTTPS 协 议 进行 通信 交 
互 ， 基 本 的 访问 格式 如 下 : 


https: //{server}: {port}/{environment}/{resource}/{key} 


Master 会 根据 auth.conf 配 置 文件 来 限制 Agent 的 来 源 (来 源 包括 IP、 域 名 或 环境 列表 等 ) 。 限 制 访问 Master 某 一 个 目录 或 一 些 目录 的 权限 ， 有 了 auth.conf 权 限 配 置 文件 ， 就 会 使 Master 服 务 器 更 加 
安全 。 下 面 来 看 一 下 auth.conf 配 置 文 件 的 格式 和 配置 文件 案例 ， 如 图 4-1 所 示 。 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/guides/rest_api.html。 


path [~] {/path/to/resource|regex} 
[environment {list of environments}] 
[method {list of methods}] 
[auth[enthicated] {yes|lnolon|offl|any}] 
[allow {hostname|certname|*}] 


图 4-1 auth.conf 权 限 控制 列表 格式 


GG 注意 ”在 旧 的 Puppet 版 本 中 ，Puppet 使 用 了 XMLRPC 协 议 。XMLRPC 是 使 用 HTTP 协 议 作为 传输 协议 的 RPC 机 制 ， 使 用 XML 文本 的 方式 ， 这 种 协议 的 工作 效率 比较 低 ， 在 新 版 本 中 已 经 使 用 了 
HTTPNewworkAPI 替 代 XMLRPC 协 议 。 旧 版 本 中 配置 文件 名 是 authconfig， 新 版 本 中 该 功能 已 经 被 auth.conf 配 置 文件 所 替代 。 


1.auth.conf 权 限 控制 列表 格式 


司 4-1 所 示 是 官方 网 站 提供 的 auth.conf 文 件 格式 。 


auth.conf 配 置 文件 格式 包含 7 个 参数 ， 分 别 是 path、environment、method、auth、allow、allow_ip 和 deny， 每 个 参数 有 自己 独立 的 值 ， 通 过 这 7 个 参数 的 自由 组 合 ， 就 形成 了 Agent 访 问 Master 
目录 权限 控制 的 ACL (Access Control Lists， 权 限 控制 列表 ) 。 下 面 分 别 来 看 一 下 auth.conf 的 7 个 参数 。 


1) path 参 数 : 指定 ACL 的 路 径 。path 后 接 系统 路 径 、 正 则 表达 式 、 路 径 前 缀 和 资源 等 信息 。 


2) enviroment 人 参数: 它 可 以 包含 一 个 环境 或 多 个 环境 列表 ， 如 果 不 设 置 则 默认 为 所 有 环境 。Puppet 的 环境 主要 用 于 “ 灰 度 ”功能 ， 在 第 5 章 详细 介绍 Puppet 的 环境 。 


3) method 人 参数: 包含 find (查找 ) 、search (搜索 ) 、save (保存 ) 和 destroy (销毁 ) ， 可 以 在 method 后 设置 任意 一 个 参数 或 用 逗号 做 分 隔 设 置 多 参数 ， 默 认 是 设置 所 有 参数 。 


4) auth 参 数 : auth 参 数 包 含 yes 或 on、any 和 no 或 off， 不 同 的 参数 可 以 匹配 不 同 的 请 求 ，auth 参 数 默 认 值 为 yes 或 on， 下 面 分 别 看 一 下 这 几 个 参数 的 含义 。 
“ anth 设 置 为 Ves 或 onlll 均 表示 匹配 那些 已 经 通过 认证 的 Agent 请 求 。 
: auth 设 置 为 any 意 味 着 只 匹配 认证 进行 中 和 没有 被 认证 的 请 求 。 


“auth 设 置 no 或 o 人 f， 均 表示 匹配 未 认证 过 的 Agent 请 求 。 认 证 过 的 请 求 将 会 跳 过 此 ACL。 


5) allow 参 数 : 它 的 值 可 以 是 hostname 或 certname。Puppet 2.7.1 以 后 的 版 本 还 支持 Perl 或 Ruby 的 正则 表达 式 ， 如 allow/^[\w-]+.example.com$/ 通 过 正则 表达 式 来 匹配 hostname 或 certname。 


6) allow ip 参数: 它 后 接 一 个 IP 或 IP 的 网 段 ， 表 示人 允许 指定 的 IP 范 围 通过 。 


7) deny 参 数 : 它 后 接 一 个 IP、 多 个 IP、 网 段 或 域名 等 ， 表 示 禁 止 这 些 范围 访问 Master 的 目录 权限 。 


2.auth.conf 配 置 文件 案例 


auth.conf 是 Agent 访 问 Master 的 目录 时 ACL 权 限 控制 列表 配置 文件 ，Puppet 默 认 提供 的 auth.conf 模 板 文件 已 经 为 /etc/puppet 目 录 配 置 好 了 ACL， 只 有 特殊 的 需求 时 才 会 更 改 它 。 下 面 让 通过 4 个 案 
例 修改 auth.conf 配 置 文件 ， 看 Master 是 如 何 对 Agent 做 ACL 权 限 控制 的 。 可 以 编辑 auth.conf 配 置 文件 追加 以 下 内 容 。 


案例 1 


限定 Agent 访 问 facts 路 径 ， 只 准许 来 自 puppet1.example.com 和 puppet2.example.com 的 域 访 问 。 具 体 设置 方法 如 下 : 


Path /facts 

method find, search 

auth yes 

allow puppetl1 .example.com, puppet2.example.com 


path 参 数 : 后 面 接 被 访问 路 径 。 
. method 参 数 : find，search 表 示 准 许 访问 facts 路 径 下 的 文件 。 
.auth 参 数 : 匹配 已 经 通过 认证 请 求 的 Agent。 

“ allow 参 数 : 准许 被 访问 的 域 。 


案例 2 


限定 已 经 通过 了 认证 请 求 的 Agent 并 且 IP 范 围 是 192.168.1.0/24， 在 这 个 范围 内 可 以 访问 /file_ metadata/user files/ 和 /file_content/user files/ 两 个 路 径 。 具 体 的 设置 方法 如 下 : 


Path ~ ^/file_ (metadatalcontent) /user files/ 
auth yes 
allow ip 192.168.100.0/24 


“ path 参 数 : 通过 正则 表达 式 匹 配 /fle_metadata/user_files/ 和 /file_content/user_files/ 两 个 路 径 。 
“ auth 参 数 : 匹配 已 经 通过 认证 请 求 的 Agent。 
. allow_ip 参 数 : 准许 IP 范 围 是 192.168.100.0/24 的 Agent 访 问 。 


案例 3 


禁止 guest.puppet.com 域 访问 “/” 根 路 径 。 具 体 设 置 方 法 如 下 : 


path / 
deny guest .puppet .com 


' path 参数 : 匹配 根 路 径 。 
deny 参数 : 禁止 guest.puppet.com 域 访问 。 


案例 4 


auth.conf 的 危险 模式 ， 此 模式 通常 用 于 测试 。 具 体 设置 方法 如 下 : 


path / 
auth any 
allow * 


path 参数: 匹配 根 路 径 。 
“ auth 参 数 : 匹配 认证 进行 中 和 没有 被 认证 的 请 求 。 
:allow 参数 : “+” 表 示 准 许 所 有 的 访问 来 源 。 


@ 提 示 。Puppet 源 码 安装 或 RPM 安 装 方式 都 会 提供 auth.conf 模 板 文 件 ， 源 码 安 装 auth.conf 模 板 文件 放 在 源码 安装 目录 里 ，RPM 安 装 auth.conf 模 板 文件 安装 到 /etc/puppet 目 录 里 。 


4.2.3 namespaceauth.conf 介 绍 


/etc/puppet/namespaceauth.conf 配 置 文 件 (下 称 namespaceauth.conf) 用 于 指定 访问 Puppet 的 名 称 空间 。namespaceauth.conf 文 件 并 非 Puppet 中 的 必要 文件 ， 当 puppet.conf 文 件 中 
listen=true 时 才 需 要 用 到 此 配置 文件 ， 否 则 Puppet 会 报 will not start without authorization file namespaceauth.conf 这 样 的 错误 。 以 下 为 namespaceauth.conf 配 置 内 容 ，namespaceauth.conf 配 置 


内 容 的 具体 作用 在 4.3.15 节 通过 puppet kick 工 具 介绍 。 


[fileserver] 

allow *.domain.com 
[puppetmaster] 

allow *.domain.com 
[puppetrunner] 

allow culain.domain.com 
[puppetbucket] 

allow *.domain.com 
[puppetreports] 

allow *.domain.com 
[resourcel] 

allow server.domain.com 


4.2.4 autosign.conf 介 绍 


/etc/puppet/autosign.conf 配 置 文件 (下 称 autosign.conf) 主要 用 于 自动 签名 证 书 功能 ， 需 要 管理 员 手 工 创建 。 默 认 Agent 访 问 Master 时 管理 员 需 要 手动 授权 Agent 证 书签 名 ， 通 过 Master 上 的 


autosign.conf 配 置 文件 ， 可 以 实现 对 某 一 来 源 或 所 有 来 源 的 Agent 做 自动 授权 证 书签 名 。 下 面 来 看 一 人 autosign.conf 配 置 文件 案例 。 
autosign.conf 文 件 授权 签名 方式 有 如 下 两 种 。 


方式 一 : 在 Master 中 追加 “*” 通配符 到 autosign.conf 配 置 文件 ， 表 示 不 做 任何 限制 ， 授 权 所 有 的 Agent 访 问 Master 时 会 自动 授权 证 书签 名 。 


# cat /etc/puppet/autosign.conf 
和 


@@ 注 意 autosign.conf 配 置 文件 不 做 任何 限制 ， 仅 供 我 们 学 习 使 用 。 如 果 在 工作 环境 中 使 用 ， 建 议 在 这 里 要 做 严格 的 限制 ， 否 则 会 引发 一 些 安全 问题 ， 请 读者 慎重 使 用 。 


方式 二 : 在 Master 中 追加 *.example.com 到 autosign.conf 配 置 文件 ， 表 示 只 有 *.example.com 域 的 Agent 访 问 Master 时 会 自动 授权 证 书签 名 。 


# cat /etc/puppet/autosign.conf 
* .example.com 


添加 方式 以 后 再 次 从 Agent 上 访问 Master， 这 次 Master 的 响应 信息 会 自动 签名 来 自 各 域名 的 证 书 文件 ， 如 图 4-2 所 示 。 


info: Applyin 
notice: lo puppet, 


Lage[Lmainj//Notifuy[Lhello 人 4 j "message” as "hello puppet.” 
notice: Finished catalog run in 0 


图 4-2 ”autosign.conf 自 动 授权 


4.2.5 fileserver.conf 介 绍 


/etc/puppet/fileserver.conf 配 置 文件 (下 称 fileserver.conf) 是 Master 目 录 的 挂 载 配 置 文件 ， 它 包含 了 Master 的 挂 载 目录 位 置 和 挂 载 目 录 的 授权 信息 等 。 与 其 他 配置 文件 相 比 ，fileserver.conf 并 非 
是 Puppet 必 要 的 配置 文件 ， 只 有 在 Agent 服 务 器 从 Master 获 取 一 个 文件 或 文件 列表 时 才 会 用 到 它 。 以 下 为 fileserver.conf 配 置 模板 文件 。 


# fileserver.conf 
[mount_Point] 

path /path/to/files 

allow *.example.com 

deny *.wireless.example.com 


@ 提 示 Puppet 源 码 安 装 或 RPM 安 装 方式 都 会 提供 fileserver.conf 模 板 文件 ， 以 源码 的 方式 安装 fleserver.conf， 模 板 文 件 会 被 安装 到 源码 安装 目录 里 ， 通 过 RPM 安 装 fileserver.conf， 模 板 文件 会 被 安装 
到 /etc/puppet 目 录 里 。 


在 filesserver.conf 配 置 文 件 中 ，[mount_point] 为 挂 载 点 ; path 参 数 定义 操作 系统 挂 载 目 录 的 根 路 径 为 /path/to/files 目 录 ; allow 参 数 准 许 来 自 *.example.com 域 访问 Master 的 挂 载 目 录 ; 最 后 通过 
deny 参 数 禁止 来 自 *.wireless.example.com 域 访问 Master 的 挂 载 目录 ， 这 就 是 Puppet Fileserver 的 基本 配置 。 来 看 一 个 例子 ， 从 Master 上 同步 sudoers 文 件 到 Agent 的 /etc/sudoers， 通 过 file 资 源 同 步 静 
态 文件 。 


file{"/etc/sudoers": 

mode => 440, 

Owner => root, 

group => root, 

source=>"puppet:///mount_point/sudoers"， # 指定 Master 服 务 器 上 sudoers 文 件 存放 位 置 
} 


Agent 通 过 Master 上 的 file 资 源 将 sudoers 静 态 文件 按 指定 的 系统 权限 和 系统 用 户 信息 同步 到 Agent 的 /etc/ 目 录 下 ， 这 里 在 同步 静态 配置 文件 时 需要 在 file 资 源 中 写 明 source 属 性 ， 并 指定 要 同步 给 
Agent 的 sudoers 配 置 文 件 在 Master 上 的 位 置 ，Agent 在 访问 Master 时 会 根据 file 资 源 中 的 配置 信息 进行 同步 。 在 source 属 性 中 的 puppet:/// 的 根 路 径 其 实 就 是 /etc/puppet/fileserver.conf 中 Path 参 数 的 挂 
载 目录 路 径 。 


@ 注 意 通过 Puppet 的 fleserver.conf 向 Agent 同 步 数 据 时 ， 建 议 不 要 同步 大 于 1MB 的 数据 文件 ，Puppet 虽 然 有 实现 同步 静态 文件 的 功能 ， 但 其 并 未 使 用 专业 的 文件 同步 数据 协议 ， 如 果 多 个 Agent 同 时 同步 
比较 大 的 数据 ， 就 会 引起 Master 超 时 ， 最 终 导致 同步 失败 。 目 前 同步 数据 可 以 使 用 的 协议 只 有 Puppet 文 件 服 务 协 议 一 种 ， 在 Puppet 未 来 的 版 本 中 ， 文 件 服务 器 会 支持 更 多 协议 ， 如 HTTP 或 rsync 协 议 等 。 


4.2.6 ”tagmail.conf 介 绍 


/etc/puppet/tagmail.conf 配 置 文件 (下 称 tagmail.conf) 是 Puppet 发 送 邮 件 程序 的 配置 文件 。Master 支 持 在 检测 到 某 一 资源 发 生变 化 时 ， 通 过 邮件 通知 一 个 或 多 个 系统 管理 员 的 功能 。 通 过 修改 
Master 和 Agent 上 的 配置 文件 就 可 以 实现 这 些 需 求 。 开 启 邮件 配置 功能 分 为 以 下 5 个 步骤 。 


步骤 1 在 Agent 的 puppet.conf 中 设置 report=true， 打 开 上 报 开关 (此 参数 在 2.7 版 本 以 上 为 自动 打开 ) 。 


步骤 2 ”在 Master 的 puppet.conf 中 设置 reports=tagmail， 设 置 tagmial 报 告 处 理 器 。 关 于 Puppet 的 报告 ， 会 在 第 12 章 详细 介绍 。 


步骤 3 在 Master 的 puppet.conf 中 设置 reportfrom 值 ， 用 来 发 送 邮件 的 邮箱 名 称 ， 默 认 是 “Report@ 系 统 FQDN 名 ”。 同 时 还 要 设置 发 送 邮件 的 服务 器 smtpserver 或 sndmail。 


' sendmail 参 数 : 默认 位 置 为 /usr/sbin/sendmail， 通 过 sendmail 参 数 可 以 履 盖 此 位 置 值 。 
“ smtpserver 参 数 : 设置 stmp 服 务 器 的 地 址 ， 默 认为 空 。 


步骤 4 在 Master 的 puppet.conf 中 设置 tagmap=/etc/puppet/tagmailconf。 其 实 刚刚 我 们 也 提 到 过 tagmail.conf 默 认 配 置 文件 位 置 就 在 /etc/puppet/ 下 ， 如 果 有 特殊 需求 需要 更 改 tagmailconf 路 
径 ， 可 以 通过 修改 puppet.conf 参 数 来 实现 。 


步骤 5 将 管理 员 邮 箱 追 加 到 tagmail.conf 中 ， 如 图 4-3 所 示 。 


all: log-archive@example.com 
webserver, !mailserver: httpadmins@example.com 
emerg, crit: james@example.com, zach@example.com, ben@example .com 


图 4-3 ”tagmail.conf 配 置 文件 
@ 提 示 。Puppet 源 码 安 装 或 RPM 安 装 方式 都 会 提供 tagmail.conf 模 板 文件 ， 源 码 安 装 tagmail.conf 模 板 文件 会 放 在 源码 安装 目录 里 ，RPM 安 装 tagmail.conf 模 板 文 件 会 被 安装 到 /etc/puppet 目 录 里 。 


四 yes 与 on 参数 结果 是 一 致 的 ， 均 表示 开启 或 认证 通过 的 含义 。 在 Pupbet 中 我 们 会 看 到 很 多 类 似 的 情况 ， 同 一 个 参数 有 多 个 值 含 义 相 同 ， 如 auth.conf 文 件 中 auth 参 数 的 no 与 off 值 含义 相同 结果 一 致 。 官 方 文档 
中 并 没有 过 多 解释 参数 值 相 同 的 原因 ， 但 笔者 猜测 更 多 的 原因 是 因为 设计 初 没有 考虑 太 周到 ， 后 续 的 更 改 为 了 与 之 前 版 本 的 兼容 而 导致 的 结果 。 


4.3 Puppet 命 令 详解 


由 于 不 同 版 本 之 间 的 命令 和 参数 稍微 有 一 些 区 别 ， 为 了 规避 这 些 版 本 间 的 区 别 带 来 的 问题 ， 笔 者 以 Puppet 2.7.* 版 本 分 支 为 例 来 介绍 Puppet 命 令 的 使 用 状况 。 首 先 看 一 下 Puppet 命 令 的 历史 ， 了 解 一 
下 它 的 前 世 今生 ， 然 后 按照 Puppet 命 令 的 使 用 频率 了 解 它 的 分 类 ， 最 后 根据 命令 分 类 来 分 别 了 解 Puppet 命 令 。 


4.3.1 Puppet 命 令 的 前 世 今 生 


在 Puppet 中 完成 一 个 任务 可 以 由 多 种 命令 实现 ， 这 也 是 历史 原因 导致 的 。 在 开始 的 Puppet 版 本 中 ， 它 将 所 有 的 功能 放置 到 不 同 的 二 进 制 中 来 实现 ; 2.6.0 之 后 的 版 本 ，Puppet 将 所 有 功能 集成 到 了 一 个 
单独 的 二 进 制程 序 ， 即 puppet。 我 们 先 来 对 独立 命令 和 集成 命令 进行 一 些 比较 ， 具 体 如 表 4-2 所 示 。 


表 4-2 ”独立 命令 与 集成 命令 对 照 表 


独立 命令 作 用 作 用 
pi 资源 帮助 文档 资源 帮助 文档 
puppetmasterd 守护 进程 Master 命令 
puppetrun 客户 端 更 新 工具 客户 端 主 动 更 新 工具 
puppetqd 队列 命令 队列 命令 
puppet Agent 守护 进程 Agent 命令 
puppetca 证 书 文件 授权 命令 证 书 文件 授权 命令 
filebucket 远程 备份 恢复 工具 远程 备份 恢复 工具 
ralsh Puppet 资源 抽象 工具 Puppet 资源 抽象 工具 


方式 类 似 于 Git 版 本 控制 工具 ) ， 也 可 以 使 用 单独 的 puppetmasterd 的 方式 启动 守护 进程 ， 其 参数 和 


以 Puppet 的 Master 系 统 命 令 为 例 ， 可 以 使 用 puppet master 的 方式 启动 Master 守 护 进程 (其 使 
执行 最 终 的 结果 都 是 一 样 的 。 这 里 推荐 使 用 puppet 集 成 命令 方式 ， 因 为 这 是 今后 Puppet 的 发 展 趋势 。 


@ 注 意 在 Puppet 3 版 本 中 ， 独 立 命令 功能 将 不 再 提供 。 


4.3.2 ”如 何 掌握 Puppet 命 令 


人 


Puppet 为 我 们 提供 了 丰富 的 命令 来 管理 配置 服务 器 。 截 至 Puppet 2.7.* 版 本 分 支 ，Puppet 共 集成 了 34 个 命令 与 子 命令 。 首 先 来 介绍 一 下 Puppet 共 集成 了 哪些 命令 与 子 命令 ， 然 后 介绍 如 何 查看 子 命令 
的 参数 ， 最 后 按照 命令 的 功能 和 频率 划分 ， 将 它们 分 为 4 大 类 来 分 别 介绍 。 


1.Puppet 命 令 与 子 命令 


输入 puppet help 命 令 查看 puppet 命 令 与 子 命令 的 帮助 文档 ， 结 果 如 下 : 


# puppet help 
Usage: puppet <subcommand> [options] <action> [options] 
Available subcommands, from Puppet Faces: 

人 A 


# 子 命 

ca 管理 本 地 证 书 文件 

catalog 编译 、 保 存 、 查 看 和 转换 catalog 
certificate 提供 接 入 CA 证 书 管理 

certificate request 管理 证 书 请 求 

certificate revocation 1ist Manage 列表 显示 被 删除 的 证 书 

config 配置 选项 

facts 存储 facts 返 回信 息 

file 在 全 lepucket 中 文件 个 数 和 存储 文件 
help 显示 帮助 信息 

instrumentation data 管理 监听 数据 
instrumentation listener 管理 监听 状态 

instrumentation Probe 管理 监听 探测 

key 创建 、 保 在 和 删除 证 书 的 密 钥 文 件 
man 显示 帮助 手 几 

module 通过 Puppet Forge 创 建 、 安 装 和 查找 基础 模块 
node 查看 与 管理 节点 

parser bw 件 语 法 检查 

plugin 插 理 

report 创建 、 显 示 和 提交 报告 
resource 资源 RAL, 仅 供 API 使 用 


resource type 查看 类 、 默 认 资 源 与 来 自 manifests 的 节点 信息 


secret agent 模拟 Agent 


status 查看 服务 状态 
Available applications, soon to be ported to Faces: 

# 外 

agent Puppet 守 护 进程 

apply Puppet 代 码 应 用 工具 

cert 管理 Puppet 认 证 

describe 查看 资源 的 使 用 工具 

device 远程 网 络 设备 管理 

doc 文档 生成 工具 

filebucket 文件 恢复 与 还 原 

inspect 发 送 报 告 

kick Agent 主 动 更 新 工具 

master Master 守 护 进 程 

queue Puppet 队 列 


See 'puppet help <subcommand> <action>' for help on a specific subcommand action. 
See 'puppet help <subcommand>' for help on a specific subcommand. 


2. 查 看 子 命令 属性 


Puppet help 命 令 输 出 包含 了 子 命令 与 命令 ，Puppet 子 命令 通常 可 以 协助 命令 来 完成 任务 。 查 看 子 命令 的 使 用 方法 如 下 : 


# puppet help ca 

USAGE: puppet ca <action> 

This provides local management of the Puppet Certificate Authority. 
OPTIONS: 


—-mode MODE =- The run mode to use (user, agent, or master). 

--render-as FORMAT — The rendering format to use. 

--verbose — Whether to log verbosely. 

-debug - Whether to log debug information. 
ACTIONS: 

Destroy undocumented action 

Fingerprint undocumented action 

Generate undocumented action 

List List certificates and/or certificate requests. 

Print undocumented action 

Revoke undocumented action 

Sign undocumented action 

Verify undocumented action 


后 续 章 节 会 通过 案例 来 分 别 介绍 Puppet 子 命令 的 使 用 方式 ， 这 里 就 不 详细 介绍 了 。 


3.Puppet 命 令 种 类 划分 


Puppet 命 令 与 子 命令 按 功能 和 频率 划分 可 以 分 为 4 类 ， 如 表 4-3 所 示 。 下 面 对 其 中 比较 重要 的 命令 进行 介绍 ， 其 他 的 命令 在 后 续 章节 用 到 时 会 简单 介绍 。 后 续 章节 用 不 到 的 命令 ， 其 实 使 用 频率 也 就 非常 
低 了 ， 限 于 篇 幅 ， 本 书 不 再 介绍 。 


关于 Puppet 命 令 与 子 命令 的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/man/ 或 http://docs.puppetlabs.com/references/2.7.latest/man/index.html。 


表 4-3 ” Puppet 命令 


核心 命令 puppet master 、puppet agent、puppet apply、puppet cert、puppet module 、puppet resource 

puppet describe 、puppet device 、puppet doc、puppet help、puppet man、puppet node 、puppet 
parser 、puppet plugin 

puppet ca 、puppet catalog 、puppet certificate 、puppet certificate_request、 puppet config、puppet 


facts 、puppet status 
puppet certificate_revocation list、 puppet file、puppet filebucket、puppet inspect、puppet secret_ 


` 常 用 命令 
agent, puppet report 
puppet instrumentation data、 puppet instrumentation listener 、puppet resource_type、puppet 
instrumentation probe 、puppet key 
即将 废弃 命令 puppet kick 、puppet queue 


4.3.3 puppet master 介 绍 


puppet master 是 Master 守 护 进 程 命令 ， 启 动 后 默认 以 TCP 协 议 监听 在 8140 端 口上 。 它 的 工作 原理 是 通过 Ruby 的 Webrick Web 接 收 Agent 服 务 器 的 请 求 ， 根 据 请 求 内 容 与 Master 上 的 site.pp 文 件 进行 
匹配 ， 并 根据 site.pp 文 件 内 容 编译 成 catalog 向 Agent 分 发 ， 在 Agent 上 应 用 这 些 配置 信息 。 其 实 Master 的 守护 进程 还 有 另外 一 种 启动 形式 ， 就 是 通过 service puppetmasterd start 启 动 。 这 种 方式 启动 简 
单 ， 但 是 出 现 问题 不 容易 发 现 ， 如 puppet.conf 文 件 不 存在 ， 守 护 进程 是 无 法 启动 的 ， 而 service puppetmasterd start 命 令 既 不 会 报错 也 不 会 启动 守护 进程 ， 初 学 者 可 能 就 会 比较 迷惑 。 所 以 这 里 推荐 以 
puppet master 作 为 启动 命令 ， 因 为 它 会 反馈 更 多 的 启动 信息 ， 让 我 们 知道 它 的 启动 过 程 ， 并 在 启动 失败 时 ， 也 可 了 解 失败 的 原因 。 下 面 来 看 一 下 puppet master 的 常用 参数 和 案例 。 


1.puppet master 常 用 参数 


以 下 为 puppet master 的 常用 参数 ， 此 命令 由 Puppet 的 作者 Luke Kanies 提 供 。 


--daemonize 
--no-daemonize 
--debug 
--logdest 
--verbose 
--version 
--compile 

--masterport 

--pidfile 

0 --servertype 


Foo amewmh 


下 面 简单 分 析 一 下 puppet master 命 令 的 常用 参数 。 


“ daemonize 参 数 : 将 进程 发 送 到 后 台 运行 ， 是 Master 的 默认 参数 。 


“ no-daemonize 参 数 : 将 进程 输出 信息 发 送 到 标准 输出 。 

"debug 参数 : 打开 调试 信息 。 

“ logdest 参 数 : 指定 输出 日 志 的 路 径 和 文件 名 。 它 可 以 输出 到 屏幕 终端 、 系 统 日 志和 指定 文件 中 ， 黑 认 是 发 送 到 屏幕 终端 。 
:verbose 参 数 : 输出 扩展 信息 。 

“version 参 数 : 显示 Master 的 版 本 信息 。 


:combile 参 数 : 将 编译 后 的 catalog 以 JSON 格 式 输出 到 $vardir/yaml/ 目 录 下 。 我 们 也 可 以 通过 puppet master--complie example.puppet.com 方 式 ， 其 中 example.puppet.com 表 示 Agent 的 Hostname， 它 的 输出 结果 
为 JISON 格 式 数据 ， 将 它 导 入 puppet apply 中 使 用 。 


masterport 参 数 : Master 自 定义 端口 。 
“ pidfile 参 数 : Master 在 监听 多 端口 时 的 pid 文 件 不 能 公用 ， 所 以 要 通过 pidfile 参 数 指定 不 同 的 pid 文 件 位 置 。 


“ servertype 参 数 : Master 的 启动 方式 。 上 默认 设置 为 WEBRick， 也 可 以 设置 为 Mongrel 方 式 ，Mongrel 方 式 启动 方式 会 在 第 11 章 详细 介绍 (需要 注意 的 是 ，Mongrel 方 式 启动 适用 于 Puppet 2.7 以 下 的 版 
本 ，Puppet 3 已 经 取消 了 Mongrel 方 式 启动 ) 。 


2.puppet master 案 例 


通过 puppet master 命 令 和 参数 方式 启动 Master， 启 动 前 先 要 确认 puppet.conf 配 置 文件 是 否 存 在 ， 并 且 按 照 机 器 状况 进行 配置 。 通 过 puppet master 与 参数 方式 启动 Puppet 守 护 进 程 的 方法 如 下 。 


# puppet master --Verbose --no-daemonize >> master.1og 1>&2 & 


通过 verbose 参 数 使 Master 输 出 详细 的 日 志 ， 通 过 no-daemonize 参 数 使 Master 在 终端 运行 ， 并 将 进程 信息 输出 重 定向 到 标准 输出 。 通 过 这 种 方式 启动 可 以 看 到 Puppet 的 一 些 初始 化 过 程 如 图 4-4 所 
示 。 当 启动 失败 时 会 输出 错误 原因 以 方便 我 们 解决 问题 。 如 果 不 是 首次 启动 的 话 ， 则 推荐 在 命令 后 面 增加 “> >master.log 1>&2&” 符号 ， 让 它 在 后 台 运行 ， 而 日 志 输 出 到 master.log 文 件 中 。 


notice: Starting Puppet master version 2.7. 21 
info: mount [files]: allowing * access 


access[ /catalog/([ /+)$]: allowing “method find 

access[ /catalog/([ /]+)$]: allowing $1 access 

access[ /node/([ /J]+)$]: allowing ’ method” find 

access[ /node/([ /J+)$]: allowing $1 access 
access[/certificate_revocation list/ca]: allowing ’: method” find 
access[/certificate revocation list/ca]: allowing * access 
access[ /report/([ /J+)$]: allowing “method save 

access[ /report/([ /J]+)$]: allowing $1 access 
access[/file]: allowing * access 

access[/certificate/ca]: adding authentication any 
access[/certificate/ca]: allowing ’ method find 
access[/certificate/ca]: allowing * access 
access[/certificate/]: adding authentication any 
access[/certificate/]: allowing ' method find 
access[/certificate/]: allowing * access 
access[/certificate request]: adding authentication any 
access[/certificate_ request]: allowing ’ method find 
access[/certificate request]: allowing ’ method save 
access[/certificate _request]: allowing * access 

access[/]: adding authentication any 

access[/tm]: adding authentication any 

access[/tmp]: allowing ' method find 

access[/tmp]: allowing ’: method” save 

access[/tmp]: allowing * access 

Inserting default ’' /status’ (auth true) ACL because none were found in ’ /etc/puppet/auth. conf 


图 4-4 Master 守护 进程 输出 信息 


4.3.4 puppet agent 介 绍 
puppet agent 是 Agent 访 问 Master 获 取 配置 信息 的 命令 ， 下 面 来 看 一 下 它 的 常用 参数 和 案例 。 


1.puppet agent 常 用 参数 


以 下 为 puppet agent 的 常用 参数 ，puppet agent 命 令 由 Puppet 的 作者 Luke Kanies 提 供 。 


--daemonize 
--no-daemonize 
--debug 
--disable 
--enable 
--noop 
--onetime 
-~server 
teat 

10 --verbose 

11 --version 

12 —-waitforcert 
13 --environments 


加 oamwmmwn 


下 面 我 们 简单 分 析 一 下 puppet agent 的 常用 参数 。 


“ daemonzie 参 数 : 将 进程 输出 信息 发 送 到 后 台 ， 其 为 Agent 的 默认 参数 。 

no-daemonize 参 数 : 将 进程 输出 信息 发 送 到 标准 输出 。 

. debug 参数 : 打开 Puppet 调 试 模式 ， 输 出 启动 过 程 中 的 调试 信息 。 

“ disable 参 数 : 它 会 在 Agent 机 器 上 建立 一 个 锁定 文件 ， 在 锁定 文件 没有 删除 之 前 ，Agent 并 不 会 将 Master 获 取 的 配置 信息 应 用 到 本 机 ， 此 命令 可 以 防止 Agent 守 护 进 程 重复 执行 。 
enable 参数 : 通过 此 参数 可 以 清理 锁定 文件 ， 并 恢复 Puppet 的 正常 工作 状态 。 

“ noop 参 数 : 此 参数 又 被 称 为 Puppet 的 dry ran 模 式 ， 在 此 模式 下 运行 主机 不 会 做 出 任何 变更 ， 但 是 它 会 告诉 你 本 次 执行 中 Puppet 都 做 了 些 什 么 ， 根 据 dty run 模 式 输出 结果 来 查看 是 否 和 我 们 的 预期 一 致 。 
“ ontime 参 数 : 可 以 让 Puppet Agent 运 行 一 次 就 停止。 

“ server 参 数 : 可 以 指定 Master 的 域名 。 

' test 参数 : 一 些 命令 的 集合 ， 通 过 --test 可 以 打开 onetime、verbose、ignorecache、no-daemonize、no-usecacheonfailure、detailed-exit-codes、no-splay 和 show diff 等 参数 。 

“ Verbose 参 数 : 输出 Puppet 扩 展 信 息 。 

“ version 参 数 : 显示 Puppet 版 本 信息 。 


waitforcert 参 数 : Agent 访 问 Mastet 时 的 证 书签 名 的 等 待 时 间 (单位 为 秒 ) ， 在 没有 得 到 Mastet 授 权证 书签 名 的 情况 下 ，Puppet Agent 守 护 进 程 默 认 每 两 分 钟 向 Master 请 求 发 送 一 次 证 书 并 等 待 响应 。 如 果 
waitforcert 参 数值 设置 为 0 秒 ， 则 表示 不 等 待 。 


“ environments 参 数 : 后 面 接 Puppet 环 境 参 数 ， 此 功能 主要 用 于 配置 文件 的 灰 度 。 第 5 章 会 详细 介绍 。 
2.puppet agent 案 例 
以 下 是 puppet agent 的 两 个 案例 ， 案 例 1 主 要 介绍 puppet agent 如 何 访问 Master， 案 例 2 介绍 Puppet 的 dry run 模 式 。 


案例 1 


让 我 们 来 看 一 下 Agent 是 如 何 通过 最 基本 的 参数 来 访问 Master 的 。 首 先 通过 puppet agent 后 接 test 参 数 的 方式 来 访问 Master 获 取 配 置信 息 。 具 体 命令 如 下 : 


# puppet agent --server=puppet .example.com --test 


Agent 访 问 Master 成 功 后 会 显示 如 下 信息 : 


info: Caching catalog for agent 

info: Applying configuration version '1382198703' 

notice: hello puppet 

notice: /Stage[main]//Notify[hello puppet]/message: defined 'message' as 'hello puppet' 
notice: Finished catalog run in 0.02 seconds 


输出 的 结果 包含 了 本 次 访问 Master 的 时 间 ， 获 取 的 应 用 信息 和 整个 运行 的 耗 时 。 这 些 信息 有 助 于 我 们 了 解 本 次 Agent 最 终结 果 是 否 成 功 。 


外 注意 Agent 可 以 以 两 种 方式 运行 ， 一 种 方式 是 命令 接 参 数 直接 连接 Master; 另 一 种 方式 是 以 守护 进程 的 形式 在 UNIXV/Linux 后 台 运行 ， 默 认 每 30 分 钟 访问 一 次 Master， 但 是 这 样 并 不 灵活 。 在 此 推荐 读 


者 将 Agent 的 命令 放 到 crontab 中 运行 。 
案例 2 


我 们 通 en 最 怕 的 就 是 误 操 作 ， 误 操作 会 带 来 毁灭 性 的 打击 ， 一 个 误 操作 可 能 导致 一 天 的 努力 付 诸 东 流 ， 所 以 通过 Puppet 管 理 配 置 服务 器 要 谨慎 再 谨慎 。 那 么 如 
何 避 免 错误 的 发 生 呢 ? 第 5 章 会 介绍 puppet 的 环境 ， 可 以 将 它 理解 为 测试 中 的 灰 度 ， 通 过 它 可 以 降低 误 操作 对 线 上 的 影响 。 可 能 读者 不 禁 要 问 ， 除 了 环境 就 没有 别 的 办 法 了 吗 ? 办 法 当然 也 是 有 的 ， 通 过 
puppet et 通常 noop 参 数 又 称 为 dry run 模 式 ， 即 模拟 执行 。 在 此 模式 下 ，puppet 的 Agent 和 往常 一 样 也 会 执行 一 次 ， 但 是 它 并 不 会 改变 Agent 的 系统 状态 。 让 我 们 看 一 
下 它 的 使 用 方法 和 最 终结 果 。 


定义 httpd::install 类 ， 它 的 功能 是 同步 Master 上 的 httpd.conf 配 置 文 件 到 Agent， 我 们 修改 http::install 类 中 已 经 声明 的 $serveradmin 变 量 , 将 内 容 由 admin@ qq.com 改 为 test@ qq.com。 具 体 代 码 
如 下 : 


class httpd::install { 
$listenaddress = "$::ipaddress" 
$serveradmin = "admin@qq.com" # 更 改 为 Lest@qq.com 
$user = "nobody" 
$group = "nobody" 
file {' 人 Conf ': 
mode => 
owner => 1 
group => 'root', 
content => template ("httpd/httpd.conf.default .reb") 
} 


在 Agent 访 问 Master 时 追加 noop 参 数 。 具 体 命令 如 下 : 


# puppet agent --server=puppet .example.com --test --noop 
notice: /Stage [main]/Httpdq: : Install/File[/usr/local/apache2/conf/httpd.conf]/content: 
=--- /usr/local/apache2/conf/httpd.conf 2013-07-05 10: 48: 52.000000000 +0800 
+++ /tmp/puppet-file20131022-13983-1lyo2084-0 2013-12-12 14: 50: 17.000000000 +0800 
QQ -277,7 +277,7 @@ 

# e-mailed. This address appears on some server-generated pages, such 

# as error documents. e.g. admin@your-domain.com 


-ServerAdmin admin@qq.com # 本 次 变更 前 内 容 
+ServerAdmin test@qq.com # 本 次 变更 后 内 容 


执行 后 我 们 可 以 看 到 Agent 上 的 httpd.conf 配 置 文件 内 容 并 没有 变化 ， 响 应 结果 中 会 显示 本 次 的 变更 内 容 ， 但 是 它 并 不 会 真 的 修改 Agent 上 的 httpd.conf 配 置 文件 ， 这 就 是 dryrun 模 式 的 好 处 ， 我 们 可 
以 知道 它 的 变更 结果 ， 但 又 并 不 会 真 的 更 改 文 件 。 重 要 配置 文件 变革 前 ， 可 以 尝试 noop 参 数 ， 并 确认 是 否 与 我 们 的 预期 一 致 ， 从 而 达到 万 无 一 失 。 


4.3.5 puppet cert 介 绍 


puppet cert 是 管理 Puppet 的 证 书签 名 的 命令 ， 在 Agent 访 问 Master 时 使 用 的 是 SSL 安 全 套 接 字 ， 其 优点 是 加 密 双方 的 通信 数据 ， 从 而 保证 信息 安全 。 首 次 访问 需要 Master 对 Agent 的 证 书签 名 才 可 以 
正常 建立 SSL 通 信 ， 所 以 首次 连接 需要 先 通 过 puppet cert 命 令 在 Master 上 对 Agent 的 数字 证 书签 名 。 我 们 通过 puppet cert 命 令 还 可 以 实现 管理 、 授 权 、 回 收 、 显 示 和 产生 签名 文件 。 以 puppet cert 方 式 为 
例 ， 下 面 来 看 一 下 它 的 常用 参数 和 案例 。 


1.puppet cert 常 用 参数 


以 下 为 puppet cert 的 常用 参数 ， 此 命令 由 Puppet 的 作者 Luke Kanies 提 供 。 


-~clean 
--generate 
-iiat 
--print 
--revoke 
--sign 
--verify 


amewmh 


下 面 来 简单 分 析 一 下 puppet cert 命 令 的 常用 参数 。 


:clean 参数 : 清理 Master 主 机 上 存储 的 所 有 相关 证 书 文件 。 

“ generate 参 数 : 为 指定 域名 授权 签发 一 个 证 书 文件 。 

list 参数 ; 在 Master 上 可 以 列 出 目前 Agent 机 器 等 待 签发 证 书 的 信息 。 
“ ptint 参 数 : 打印 证 书 的 版 本 信息 。 

:revoke 参 数 : 回收 指定 Agent 的 证 书 。 


:vetify 参 数 : 确认 证 书 是 否 由 本 地 CA 签发 。 


2.puppet cert 案 例 


这 里 介绍 puppet cert 的 两 个 案例 ， 案 例 1 主要 介绍 puppet cert 如 何 授权 Agent 证 书签 名 ; 案例 2 介绍 预 授权 签名 证 书 文件 。 


案例 1 


面 来 看 一 下 在 Puppet 的 C/S 架 构 下 ，Master 是 如 何 为 Agent 签 发 证 书 文件 的 。 首 先 在 Master 上 通过 puppet cert list 命 令 显示 目前 都 有 哪些 


器 
二 


通过 前 面 的 介绍 我 们 已 经 了 解 了 puppet cert 的 
Agent 等 待 签发 证 书 。 命 令 如 下 : 


# puppet cert list 
example .web .puppet .com 


可 以 看 到 有 一 台 HOSTNAME 为 example.web.puppet.com 的 Agent 在 等 待 签发 证 书 文 件 ， 这 时 可 以 通过 sign 参 数 对 等 待 的 证 书 进行 签名 ， 授 权 签 名 后 的 Agent 才 可 以 建立 SSL 通 信 并 访问 Master。 我 们 
来 对 HOSTNAME 为 example.web.puppet.com 的 Agent 授 权 签 名 证 书 文 件 ， 命 令 如 下 : 


# puppet cert sign example .web.puppet .com 


通过 sign 参 数 签名 后 的 HOSTNAME 为 example.web.puppet.com 的 Agent 就 可 以 正常 访问 Master 了 。 这 里 只 看 到 了 一 台 要 签名 的 Agent， 但 如 果 要 签名 的 Agent 比 较 多 怎么 办 ? 需要 一 个 个 签名 吗 ? 
大 家 不 用 担心 ，puppet cert 还 提供 了 al 参数， 可 以 通过 它 对 所 有 等 待 的 Agent 进 行 手动 签名 。 在 等 待 签名 的 Agent 服 务 器 比较 多 的 情况 下 ， 可 以 使 用 all 参 数 ， 具 体 如 下 : 


# puppet cert sign --all 


Agent 被 签名 后 ， 其 生成 的 签名 证 书 文件 会 根据 Master 的 puppet.conf 文 件 中 的 ssldir 参 数 的 指定 路 径 进 行 存储 ， 参 数 默 认 会 将 生成 的 证 书 文件 存放 
在 /var/lib/puppet/ssl/signed/example.web.puppet.com.pem。 


案例 2 


还 有 一 种 相对 安全 的 签名 方式 ， 即 “ 预 签名 方式 ”， 也 就 是 管理 员 提 前 将 签名 证 书 文 件 生成 后 推送 到 Agent 机 器 上 ， 通 过 puppet cert--generate 后 接 HOSTNAME 的 方式 来 预 生成 签名 证 书 。 命 令 如 


# puppet cert --generate examplel .puppet.com 


这 里 它 会 预 生 成 example1.puppet.com 证 书 ， 包 括 Agent 的 私 钥 、Agent 的 证 书 和 CA 证 书 。 具 体 如 下 : 


/etc/puppet/ssl/private_ keys/examplel .puppet .com.pem 
/etc/puppet/ssl/certs/examplel .puppet .com.pem 
/etc/puppet/ssl/certs/ca.pem 


传输 这 3 个 所 需 的 证 书 文件 到 新 的 Agent 上 ， 这 样 就 可 以 省 略 证 书 请 求 这 一 步 了 。 对 于 那些 批量 接 入 Puppet 的 Agent， 这 样 的 方式 相对 要 更 安全 一 些 。 


@ 提 示 。 除 了 对 每 一 个 证 书 文件 手动 进行 证 书签 名 外 ， 还 可 以 参考 4.2.4 节 的 内 容 进 行 自动 签名 ， 在 这 种 模式 下 ， 从 指定 IP 范 围 或 域名 发 起 的 访问 都 会 被 自动 签名 。 不 过 这 一 操作 确实 存在 一 些 安全 问 
题 ， 建 议 读 者 最 好 在 熟悉 了 Puppet 之 后 再 使 用 这 一 特性 。 


4.3.6 ” puppet apply 介 绍 


puppet apply 是 一 个 单独 执行 代码 的 工具 ， 可 以 在 本 机 运行 以 .pp 结尾 的 程序 (.pp 扩 展 名 是 Puppet 配 置 管理 语言 的 源 文件 ) 。 之 前 我 们 介绍 过 Puppet 的 两 种 运行 方式 ， 一 种 是 C/S 架 构 运 行 ， 另 一 种 
就 是 单机 运行 ， 而 puppet apply 就 是 单机 运行 的 工具 ， 通 常 puppet apply 适 用 于 代码 调试 环节 。 下 面 来 看 一 人 puppet apply 的 常用 参数 和 案例 。 


口 


1.puppet apply 常 用 参数 


以 下 为 puppet apply 的 常用 参数 ，puppet apply 由 Puppet 的 作者 Luke Kanies 提 供 。 


1 --debug 
2 --logdest 
3 --execute 
4 --verbose 
5 --apply 
6 --catalog 


下 面 简单 分 析 一 下 puppet apply 工 具 的 常用 参数 。 


"debug 参数: 打开 Puppet 调 试 模式 ， 输 出 执行 过 程 中 的 调试 信息 。 

- logdest 参 数 : puppet apply 工 具 在 执行 *.pp 代 码 过 程 中 ， 默 认 会 将 信息 输出 到 屏幕 终端 ， 通 过 此 参数 可 以 指定 输出 的 路 径 或 文件 来 改变 日 志 输出 方式 。 

“ execute 参 数 : 用 于 执行 Puppet 代 码 片 段 。 

“verbose 参 数 : 输出 扩展 信息 。 

apply 参 数 和 catalog 参 数 : 都 可 以 接 JSON 格 式 的 文件 或 从 标准 输入 导入 JSON 格 式 的 数据 ， 不 过 目前 catalog 参 数 已 经 取代 apply 参 数 的 功能 。 注 意 ， 通 过 puppet master--compile 可 以 生成 JSON 格 式 的 数据 ， 


然后 通过 puppet apply 工 具 实 现 catalog 参 数 接 JSON 格 式 数据 。 


2.puppet apply 案 例 


以 下 是 puppet apply 的 两 个 案例 。 案 例 1 主 要 介绍 puppet apply 如 何 使 用 ， 案 例 2 介 绍 通 过 puppet apply 参 数 形式 执行 Puppet 代 码 。 


案例 1 


通过 此 案例 可 以 了 解 puppet apply 工 具 是 如 何 执行 .pp 文件 的 。 首 先 创建 test.pp 文 件 ， 追 加 notify 资 源 与 “hello world” 值 到 文件 中 。 命 令 如 下 : 


# cat test.pp 
notify{"hello world": } 


notify 资 源 的 作用 是 将 信息 输出 到 屏幕 终端 ， 可 以 看 到 ， 它 与 shell 语 言 的 echo 非 常 相似 ， 即 把 结果 打印 出 来 。 通 过 puppet apply test.pp 可 以 看 到 执行 结果 。 


# puppet apply test.pp 

notice: hello world # notify 资源 的 输出 

notice: /Stage[lmain]//Notify[hello world]/message: defined 'message' as 'hello world' 
notice: Finished catalog run in 0.01 seconds 


通过 notify 资 源 将 test.pp 中 的 “hello world” 信 息 发 送 到 系统 标准 输出 ， 同 时 显示 调用 notify 资 源 的 执行 时 间 ， 这 和 我 们 C/S 架 构 执 行 的 结果 是 一 致 的 。 


案例 2 


我 们 还 可 以 通过 puppet apply 工 具 的 execute 参 数 直 接 调用 Puppet 代 码 片段 ， 为 了 节约 篇 幅 这 里 仍然 通过 notify 资 源 来 介绍 execute 参 数 的 使 用 。 具 体 如 下 : 


# puppet apply --execute "notify{"hello world"}" 

notice: hello world # notify 资源 的 输出 

notice: /Stage [main]//Notify[hello world] /message: defined 'message' as 'hello world' 
notice: Finished catalog run in 0.01 seconds 


同样 它 会 将 notify 资 源 内 容 输出 到 系统 标准 输出 ， 并 显示 执行 notify 资 源 的 时 间 。 


4.3.7 puppet module 介 绍 


puppet module 是 Puppet 的 基础 模块 工具 ， 它 包含 下 载 、 更 新 、 查 找 、 升 级 和 创建 基础 模块 等 功能 。 我 们 会 经 常用 到 它 的 查找 基础 模块 功能 ， 它 可 以 从 Puppet Forge 上 查找 已 经 开发 好 的 Puppet 基 
础 模块 代码 来 为 我 们 所 用 ， 以 减少 运 维 工程 师 的 重复 劳动 ， 并 提升 工作 效率 。 


1.puppet module 常 用 参数 


--generate 
--install 
= 
--search 
--uninstall 
--upgrade 


ao wb 


下 面 简单 分 析 一 下 puppet module 工 具 的 常用 参数 。 


“ generate 参 数 : 创建 标准 的 基础 模块 目录 结构 。 

. install 参数 : 安装 Puppet Forge 的 基础 模块。 

"list 参数 : 以 树 形 结 构 显 示 现 有 的 基础 模块 (结果 输出 类 似 tree 命 令 ) 。 
“ search 参 数 : 在 Puppet Forge 中 查找 基础 模块 。 

“ uninstall 参 数 : 删除 已 经 安装 的 基础 模块 。 


. upgrade 参数 : 升级 已 经 安装 的 基础 模块 。 


2.puppet module 案 例 


案例 1 


首先 通过 search 参 数 查找 在 Puppet Forge 中 的 apache 相 关 基 础 模块 ， 具 体 命令 如 下 : 


# puppet module search apache 


Searching http: //forge.puppetlabs.com http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 


NAME 
puppetlabs-apache 
puppetlabs-passenger 
DavidSchmitt-apache 
jamtur01-httpauth 


DESCRIPTION AUTHOR KEYWORDS 


This is a generic http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 
Module to manage Phttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 
Manages apache, mohttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 
Puppet HTTP Authenhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 


@puppetlabs 
@puppetlabs 
Q@DavidSchmitt 
@jamtur01 


a 
aaF 
部 
证 


根据 查找 信息 ， 通 过 install 参 数 可 以 安装 puppetlabs-apache 基 础 模块 ， 并 通过 version 参 数 指定 版 本 信息 ， 


体 命令 如 下 : 


# puppet module install puppetlabs-apache --version 0.0.2 


最 后 ， 如 果 觉 得 安装 的 版 本 不 是 自己 想 要 的 版 本 ， 还 可 以 印 载 它 ， 通 过 uninstall 参 数 卸 载 puppetlabs-apache 基 础 模块 ， 具 体 命令 如 下 : 


# puppet module uninstall puppetlabs-apache 


安装 好 的 基础 模块 会 根据 Master 的 主 配置 文件 puppet.conf 中 的 modulepath 参 数 将 基础 模块 放 到 指定 的 


@ 注 意 


案例 2 


通过 generate 参 数 创建 基础 模块 。 具 体 命令 如 下 : 


# puppet module generate example-mymodule 
Generating module at /etc/puppet/modules/example-mymodule 
example-mymodule 
example-mymodule/Modulefile 
example-mymodule/manifests 
example-mymodule/manifests/init .pp 
example-mymodule/README 
example-mymodule/tests 
example-mymodule/tests/init.pp 
example-mymodule/spec 
example-mymodule/spec/spec helper.rb 


录 中 ， 默 认 路 径 为 /etc/puppet/modules。 


除了 通过 puppet module 工 具 来 获取 基础 模块 外 ， 还 可 以 自己 开发 Puppet 的 基础 模块 ， 在 第 5 章 将 会 介绍 如 何 自 己 开发 Puppet 的 基础 模块 。 


通过 list 参 数 查 看 现 有 基础 模块 与 版 本 。 具 体 命令 如 下 : 


# puppet module list 
/etc/puppet/modules 

[一 examplecorp-apache4 (v1.0) 
[一 puppetlabs-stdlib (v4.1.0) 


4.3.8 puppet resource 介 绍 


puppet resource 是 资源 抽象 层 的 shell， 通 过 它 可 以 将 当前 系统 状态 转换 为 Puppet 的 代码 ， 并 且 它 还 


数 和 案例 。 


1.puppet resource 常 用 参数 


以 下 为 puppet resource 的 常用 参数 ，puppet resource 命 令 由 Puppet 的 作者 Luke Kanies 提 供 。 


有 将 当前 的 系统 状态 改变 为 Puppet RAL 状 态 等 功能 。 下 面 来 看 一 人 puppet resource 的 常用 参 


--debug 
--edit 
-~host 
--param 
--types 
-~verbose 


MDNRONP 


下 面 简单 分 析 一 下 puppet resource 命 令 的 常用 参数 。 


“ debug 参 数 : 打开 调试 信息 开关 。 


' edit 参数 : 将 查询 结果 写 入 文件 中 ， 在 编辑 器 中 打开 这 一 文件 ， 并 且 以 Puppet 代 码 的 表现 形式 复述 这 一 文件 。 


,host 参数: 指定 之 后 ， 连 接 到 已 命名 主机 的 资源 服务 器 ， 获 取 指定 类 型 资源 的 列表 。 
,param 参数 : 添加 更 多 参数 以 进行 查询 输出 。 
,types 参数: 列 出 所 有 可 获得 的 类 型 。 


' vetbose 参 数 : 输出 扩展 信息 。 


2.puppet resource 案 例 


下 面 通过 puppet resource 命 令 来 修改 系统 root 账 号 的 命令 解析 器 ， 将 bash 解 析 器 改 为 sh 解析 器 。 这 里 分 为 3 个 步骤 。 


步骤 1 


通过 puppet resource 命 令 , 后 


# puppet resource user root 


接 user 参 数 和 root 系 统 账户 名 ， 将 系统 root 账 号 转换 为 Puppet 的 代码 。 


输出 结果 如 下 : 


user { 'root': 
ensure => 'present', 


gid => '100', 
groups => ['root'], 
home => '/home/root', 


shell => '/bin/bash', 
uid = 44104757 


步骤 2 puppet resource 命 令 输出 后 接管 道 和 tee 命 令 ， 管 道 的 作用 是 将 前 者 的 输出 变 为 后 者 的 输入 ，tee 命 令 的 作用 是 将 结果 输出 到 屏幕 ， 同 时 导入 change.pp 文 件 。 编 辑 change.pp 文 件 ， 将 root 账 


号 的 /bin/bash 改 为 /bin/sh 命 令 解 析 器 。 


# puppet resource user root | tee change.pp 


user { 'root': 
ensure => 'present', 
gid => '100', 
groups => ['root'], 
home => '/home/root', 


shell => '/bin/bash'， # 编 辑 change.PP 文 件 , 将 /bin/bash 替 换 为 /bin/sh 


uid => '0', 


步骤 3 通过 puppet apply 命 令 来 应 用 


# puppet apply change.pp 


notice: /Stage[main]//User[root]/shell: 


shell changed '/bin/bash' to '/bin/sh' 


notice: Finished catalog run in 0.03 seconds 


这 时 Puppet 会 将 root 系 统 账号 的 /bin/bash 改 为 /bin/sh 命 令 解 析 器 ， 至 此 整个 流程 结束 。 


4.3.9 puppet describe 介 绍 


puppet describe 是 Puppet 资 源 帮助 文档 工具 ， 通 过 它 可 以 显示 资源 的 使 用 方法 、 格 式 和 案例 。 资 源 是 Puppet 的 核心 ， 如 果 还 在 为 资源 的 使 用 方式 发 愁 ， 那 么 赶紧 来 试 试 puppet describe 这 个 工 


下 面 来 看 一 下 puppet describe 工 具 的 常用 参数 和 案例 。 


1.puppet describe 常 用 参数 


以 下 为 puppet describe 的 常用 参数 ，puppet describe 命 令 由 David Lutterkort 提 供 。 


1 --providers 
2 ~—list 

3 ~--meta 

4 --short 


下 面 简单 分 析 一 下 puppet describe 资 源 帮助 文档 的 常用 参数 。 


“ providers 参 数 : 显示 资源 对 不 同 平台 资源 的 支持 情况 。 


“ list 参 数 : 显示 资源 列表 。 


meta 参数 : 显示 所 有 metaparameters ( 即 元 参数 ) ， 在 第 7 章 会 详细 介绍 。 


“ short 参 数 : 简明 扼要 地 显示 参数 信息 。 


2.puppet describe 案 例 


如 果 我 们 对 file 资 源 的 使 用 及 与 它 相 关 的 属性 都 不 太 了 解 ， 可 以 通过 puppet describe 命 令 来 查看 file 资 源 的 详细 参数 和 使 用 案例 。 具 体 如 下 : 


# puppet describe file 
Parameters 


= **backup** 


Whether files should be backed up before 
being replaced. The preferred method of backing files up is via 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 


由 于 篇 幅 原因 ， 我 们 省 略 了 一 些 输 出 内 容 ， 通 过 puppet describe 工 具 输 出 了 file 资 源 的 属性 介绍 ， 而 且 还 包含 了 file 资 源 的 使 用 案例 。 


另外 ， 还 可 以 用 -s 表 示 short 参 数 的 简写 ，-m 表 示 meta 参 数 的 简写 ， 通 过 参数 的 简写 方式 查看 file 资 源 的 主要 信息 和 元 参数 等 。 由 于 篇 幅 的 原因 这 里 只 截取 了 输出 的 部 分 内 容 。 


# puppet describe file -s -m 
file 


Manages local files, including setting ownership and 
permissions, creation of both files and directories, and 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 


4.3.10 puppet doc 介 绍 


puppet doc 是 一 个 将 Puppet 代 码 中 的 注释 转换 为 文档 的 工具 。 运 维 工程 师 在 管理 配置 服务 时 要 将 整个 服务 器 配置 过 程 转换 为 Puppet 能 识别 的 代码 ， 代 码 中 可 以 书写 配置 的 注释 。 那 些 刚 接手 配置 管理 


的 新 人 ， 对 很 多 Puppet 配 置 代码 是 比较 生 玻 的 ， 


快速 了 解 系统 。 下 面 来 看 一 下 puppet doc 的 常 F 


1.puppet doc 常 用 参数 


所 以 需要 一 个 帮助 文档 让 查询 变 得 更 方便 。puppet doc 就 是 这 样 的 一 个 工具 ， 它 可 以 为 Puppet 语 言 、 节 点 和 类 创建 帮助 文档 ， 从 而 使 那些 对 系统 生 琉 的 人 
参数 和 案例 。 


以 下 为 puppet doc 的 常用 参数 ， 此 命令 由 Puppet 的 作者 Luke Kanies 提 供 。 


1 =~a1ll 

2 --outputdir 
3 --mode 

3 REEREWRE 
5 --charset 

6 --manifestdir 
7 --modulepath 


下 面 简单 分 析 一 下 puppet doc 命 令 的 常用 参数 。 


“af 参数 : 在 rdoc 模 式 下 ， 此 参数 可 以 输出 详细 的 文档 资源 类 型 。 


“ outputdir 参 数 : 生成 文档 的 输出 路 径 ， 此 参数 只 支持 rdoc 模 式 。 

* mode 参 数 : 后 接 输出 模式 ， 目 前 doc 支 持 的 输出 模式 包括 text、pdf 和 rdoc， 默 认 模 式 是 text 模 式 。 如 果 使 用 rdoc 模 式 ， 则 需要 提供 manifests-path 路 径 。 
“ reference 参 数 : 生成 特定 的 文档 信息 。 

“ charset 参 数 : 设置 字符 集 ， 此 参数 只 支持 rdoc 模 式 。 

“ manifestdir 参 数 : 设置 Puppet 的 manifests 路 径 ， 如 果 不 设置 此 参数 ， 它 会 在 puppet.conf 寻 找 manifestdit 上 默认 路 径 。 此 参数 只 支持 rdoc 模 式 。 


“ modulepath 参 数 : 设置 Puppet 的 基础 模块 路 径 ， 如 果 不 设置 此 参数 ， 它 会 在 puppet.conf 寻 找 modulepath 默 认 路 径 。 此 参数 只 支持 rdoc 模 式 。 


2.puppet doc 案 例 


写 明 注释 可 以 让 我 们 在 查询 历史 代码 时 更 快 地 了 解 当时 代码 编写 的 意图 ， 同 时 也 方便 他 人 更 快 熟 悉 Puppet 配 置 管 理 系 统 状 态 。 例 如 ， 要 将 /etc/puppet/manifests/puppet.pp 文 件 内 容 生 成 文档 ,可 在 
代码 中 通过 # 来 增加 注释 ， 具 体 如 下 : 


class puppet { 
This class sets up the Puppet client. 


==Actions 
Install a cron job to run Puppet. 


==Requires 
* Package["puppet"] 


O 井 间 井 井 埋 井 井 厅 


ron { "run-puppet": 
command => "/usr/sbin/puppet agent --test >/dev/null 2>g1", 
minute => inline template("<%= hostname.hash.abs % 60 $%>"), 


E 


通过 puppet doc 命 令 来 生成 Puppet 代 码 的 HTML 手 册 ，puppet doc 后 接 参数 all 表 示 输 出 详细 的 文档 资源 类 型 ，ouputdir 表 示 HTML 输 出 路 径 ，mode 表 示 生 成 模式 ，manifestdir 后 接 输 入 Puppet 代 
码 的 目录 或 路 径 ， 具 体 如 下 : 


# puppet doc --all -~-ouputdir=/var/www/html/puppet -mode rdoc \ 
-manifestdir=/etc/puppet/manifests/ 


puppet doc 工 具 会 根据 需求 生成 HTML 文 档 ， 如 图 4-5 所 示 。 


"ee 


合 加 file://var/www/html/puppet/index.html | Ex 


图 RDoc Documentation | 号 


AllClasses 
Mt 
admin 
admin::exim 
admin::sudoers 
puppet 
puppet::puppet 


Class = 

“ puppet::puppet 
In: /etc/puppetmodules/puppetUmanlfests/puppet.pp 
Parent: 


Resources 
Cron["run-puppet] 
Resources 


Cron["run-puppet"] 
command => "Yusr/sbin/puppet agent --test >/dev/null 2>&1" 
minute => 门人 me template(™<%= hostname.hash % 60 %>") 


This class sets up the Puppet client. 


Actions 


Install a cron job to run Puppet. 


Requires 


。 Package["puppet"] 


图 4-5 ” HTML 格式 文档 


生成 文档 后 ， 可 以 方便 他 人 阅读 ， 并 了 解 目前 通过 Puppet 配 置 服务 器 的 状况 。 


@ 注 意 rdoc 是 目前 比较 流行 的 Ruby 文 档 生成 器 。 


4.3.11 puppet parser 介 绍 


puppet parser 命 令 主 要 用 于 .pp 文件 语法 检查 。 在 用 Puppet 配 置 管理 系统 时 ， 需 要 养 成 一 个 比较 好 的 习惯 ， 就 是 当 我 们 编写 好 .pp 代码 后 ， 在 上 线 前 最 好 通过 puppet parser 命 令 进行 语法 检查 ， 通 过 
该 项 检查 后 再 上 线 .pp 文件 。 检 查 .pp 文件 语法 是 否 正确 需要 加 validate 动 作 ， 我 们 来 看 一 下 puppet parse 的 应 用 案例 。 


编辑 notify.pp 测 试 文件 ， 命 令 如 下 : 


notify {"this is test!": } 


notify.pp 文 件 的 作用 是 调 


1. 测 试 语法 


通过 puppet parser validate 检 查 notify.pp 文 件 的 语法 ， 如 果 无 返回 ， 则 表示 notify.pp 文 件 正确 。 


notify 资 源 在 屏幕 上 输出 “this is test”。 


文件 后 ， 如 果 语 法 正确 却 不 显示 任何 信息 ， 我 们 期 待 Puppet 能 对 这 一 功能 进行 完善 。) 


(笔者 觉得 如 果 语 法 正确 应 该 显示 Syntax ok， 这 样 用 户 体验 会 更 好 一 些 ,但 是 目前 利 


EE 


少 


检查 .pp 


# puppet parser validate notify.pp 


2. 模 拟 错误 


去 掉 notify 资 源 的 “:” 来 模拟 错误 ， 这 会 导致 not 


ify 资 源 不 符合 语法 规范 ， 最 终结 果 会 报错 。notify.pp 文 件 如 下 : 


notify {"this is test!"} 


通过 puppet parser validate 确 认 notify.pp 文 件 语法 ， 具 体 如 下 : 


# puppet parser validate notify.pp 
err: Could not parse for environment production: Syntax error at '}' at /etc/puppet/notify.pp:1 


通过 语法 检查 可 以 看 到 notify 资 源 缺少 “:”， 从 而 导致 语法 错误 。 


3. 批 量 确认 


当 我 们 要 检查 的 .pp 文件 比较 多 时 ， 还 可 以 通过 系统 辅助 find 命 令 来 确认 .pp 代码 语法 是 否 正确 ， 具 体 如 下 : 


# find /etc/puppet/ -type f -name "*.pp" | xargs -n 1 -t puppet parser validate 


4.3.12 ” puppet 帮助 命令 介绍 


全 


puppet help 与 puppet man 均 为 Puppet 命 令 的 帮助 手册 ， 它 们 输出 的 结果 基本 一 致 ， 只 不 过 puppet help 查 看 帮助 命令 会 一 次 性 输出 所 有 信息 ， 而 puppet man 要 指定 查看 的 命令 。 


1.puppet man 方 式 


通过 puppet man 后 接 命令 方式 可 以 查看 命令 帮助 信息 。 如 以 下 代码 可 以 参看 到 agent 的 相关 文档 与 参数 手册 。 退 出 时 输入 “q” 即 可 。 


# puppet man agent 
puppet-agent (8) -- The puppet agent daemon 


Retrieves the client configuration from the puppet master and applies it to 
the local host. 

This service may be run as a daemon, run periodically using cron (or something 
similar), or run interactively for testing purposes. 


由 于 篇 幅 的 原因 这 里 只 输出 了 部 分 内 容 。 


2.puppet help 方 式 


puppet help 后 接 命令 的 方式 ， 作 用 与 puppet man 一 样 ， 不 过 它 会 一 次 性 输出 所 有 命令 的 相关 帮助 信息 ， 所 以 笔者 在 后 边 加 了 “|” 管道， 将 它 的 输出 导入 了 more 命 令 ， 以 便 更 方便 地 看 到 帮助 信息 。 
具体 如 下 : 


# puppet help agent | more 

puppet-agent (8) -- The puppet agent daemon 

SYNOPSIS 

Retrieves the client configuration from the puppet master and applies it to 
the local host. 

This service may be run as a daemon, run periodically using cron (or something 
similar), or run interactively for testing purposes. 

USAGE 


由 于 输出 的 内 容 比 较 多 ， 所 以 做 了 截取 。 由 于 它们 都 比较 简单 ， 在 这 里 就 不 深入 介绍 了 。 


4.3.13 ” puppet filebucket 介 绍 


运 维 工程 师 经 常 要 做 的 就 是 为 服务 器 备份 和 恢复 数据 ，Puppet 作 为 运 维 工程 师 的 利器 也 为 我 们 提供 了 相应 的 解决 方案 一 一 filebucket 工 具 。 通 过 puppet filebucket 命 令 可 以 远程 备份 或 恢复 文件 ， 其 
有 3 种 工作 模式 ， 即 备份 、 获 取 和 还 原 。 此 命令 由 Puppet 的 作者 Luke Kanies 提 供 。 下 面 来 看 一 下 puppet filebucket 的 工作 模式 和 案例 。 


1.puppet filebucket 工 作 模式 


1) 备份 : 数据 备份 是 运 维 工 程 师 日 常 工作 中 的 重要 环节 ， 通 过 puppet filebucket backup 参 数 就 可 以 将 一 个 或 多 个 文件 发 送 到 file bucket 文 件 桶 进行 备份 ， 同 时 它 会 打印 出 每 个 备份 文件 的 


MD5I1 值 。 


2) 获取 : 通过 puppet filebucket get 参 数 可 以 获取 Agent 的 文件 内 容 。 


3) 还 原 : 通过 “puppet filbucket restore 参 数 + 路 径 +MD5” 的 形式 可 以 还 原 此 文件 的 内 容 。 


2.puppet filebucket 案 例 


以 下 是 puppet filebucket 的 3 种 模式 ， 分 别 是 备份 、 获 取 和 还 原 备份 文件 。 通 过 这 3 种 模式 来 实现 线 上 文件 的 备份 与 恢复 。 具 体内 容 如 下 : 


1) 备份 线 上 文件 ，backup 参 数 后 接 备份 文件 路 径 和 文件 名 称 。 


# puppet filebucket backup /etc/passwd 


2) 获取 备份 的 文件 ，get 参 数 后 接 备 份 原始 文件 的 md5sum 值 。 


# puppet filebucket get a0beabf0f7e6b234f26482247b147ff9 


3) 恢复 备份 的 文件 ，restore 参 数 后 接 恢复 路 径 、 文 件 名 和 备份 文件 md5sum 值 。 


# puppet filebucket restore /tmp/passwd aObeabf0f7e6b234f26482247b147ff£9 


4.3.14 ” puppet file 介 绍 


puppet file 命 令 主要 用 于 检索 和 存储 filebucket 中 的 内 容 。 下 面 介绍 如 何 利用 文件 名 和 MD5 方 式 从 Master 的 filebucket 中 下 载 文件 。 


文件 名 方式 如 下 : 


# puppet file download puppet:///modules/editors/vim/ .vimrc 


MD5 方 式 如 下 : 


# puppet file download {md5}8f798d4e754db0ac89186bbaeaf0af18 


其 实在 实际 工作 中 通过 puppet file 下 载 文件 的 方式 使 用 得 并 不 多 ， 它 只 解决 临时 的 一 些 下 载 需求 ， 如 果 要 传 的 数据 比较 多 或 文件 比较 大 ， 通 常 通过 scp 或 rsync 的 方式 来 同步 Agent 与 Master 之 间 的 文 
件 。 这 里 推荐 使 用 rsync 或 通过 exec 资 源 调用 rsync 的 方式 来 同步 文件 ， 因 为 rsync 是 一 个 比较 专业 的 数据 同步 软件 。 


4.3.15 puppet kick 介绍 


puppet kick 命 令 是 一 个 远程 Agent 管 理 控制 工具 ， 通 过 它 可 以 主动 要 求 某 台 服务 器 更 新 配置 ， 而 且 它 支持 查看 Agent 存 活 状 态 。 下 面 来 介绍 一 下 puppet kick 的 常用 参数 和 案例 。 


1.puppet kick 常 用 参数 


puppet kick 的 常用 参数 由 Puppet 的 作者 Luke Kanies 提 供 。 具 体 如 下 : 


mal 
-~class 
--debug 
--foreground 
-~host 
--ignoreschedules 
--parallel 
tay 
-ping 

0 --test 


Foo amewmh 


下 面 简单 分 析 一 下 puppet kick 命 令 的 常用 参数 。 


“ a 参数 : 连接 所 有 Agent (需要 LDAP 支 持 ) 。 

“ class 参数 : 连接 一 类 Agent (需要 LDAP 支 持 ) 。 

"debug 参数 : 打开 调试 信息 开关 。 

“ foreground 参 数 ; 在 前 台 运 行 每 一 个 配置 ， 当 连接 到 一 个 Agent 时 ， 只 有 Agent 端 更 新 完毕 才 会 退出 继续 执行 下 一 个 ， 默 认 是 关闭 的 。 

:host 参数: 可 以 指定 Agent， 这 个 可 以 出 现 多 次 ， 例 如 host x.xx.com 和 host y.xx.com。 

“ ignoreschedules 参 数 : 决定 客户 端 在 运行 配置 的 时 候 是 否 要 忽视 过 程 。 这 一 功能 可 以 用 来 强制 客户 端 执行 其 原本 不 会 执行 的 特别 迅速 的 任务 。 默 认 设置 是 关闭 的 。 
“ parallel 参 数 : 并 行 指示 每 一 个 客户 端 应 该 连接 哪 一 个 进程 ， 参 数 默 认 是 1， 也 就 是 按照 顺序 依次 连接 每 个 客户 端 。 

“tag 参数 : 指定 一 个 tag (标志 ) 来 选择 应 用 的 对 象 。 不 可 以 与 test 参 数 一 同 应 用 。 

“ Ping 参数 : 发 送 ICMP 包 到 指定 的 客户 端 ， 并 忽略 那些 没有 回应 的 客户 端 。 


test 参数: 打印 可 以 连接 的 客户 端 ， 但 并 不 会 真正 连接 它 (需要 LDAP 支 持 ) 。 


2.puppet kick 案 例 


puppet kick 是 一 个 远程 Agent 管 理 控制 工具 ， 通 过 它 可 以 主动 连接 Agent 的 进程 ， 并 要 求 这 些 被 连接 的 机 器 主动 更 新 配置 ， 最 常见 的 使 用 方式 就 是 Master 访 问 Agent 或 tag 并 要 求 这 些 Agent 或 tag 的 对 
象 都 主动 运行 一 次 。 下 面 以 /etc/puppet/modules/test/manifests/init.pp 文 件 为 例 ， 让 Agent 主 动 更 新 tag 为 test 的 资源 。 以 下 为 具体 代码 : 


$content = "some content" 
file {'/tmp/testing': 
ensure => file, 
content => $content, 
tag => 'test' 


通过 puppet kick 命 令 主动 更 新 Agent 状 态 前 ， 需 要 确定 Agent 是 否 已 经 监听 了 TCP 8139 端 口 ， 可 以 修改 /etc/puppet/puppet.conf 文 件 ， 追 加 如 下 内 容 或 设置 --listen 参 数 。 


#/etc/puppet/puppet.conf 
[agent] 
listen = true 


再 次 确认 名 称 空间 是 否 对 puppetrunner 授 权 ， 编辑 /etc/puppet/namespaceauth.conf， 追 加 以 下 内 容 。 


[puppetrunner] 
allow example.puppet.com 


B 注 意 在 Agent 启 动 监听 TCP 8139 端 口 后 ， 还 要 确认 iptables 是 否 已 经 对 TCP 8139 端 口 放 开 限制 。 解 除 TCP 8139 端 口 限 制 命令 : iptables tfilter -AINPUT ptcpm state -state NEW--dport 8139 -j 
ACCEPT。 


确认 启动 8139 端 口 后 还 要 设置 Agent 的 访问 路 径 ， 修 改 /etc/auth.conf 文 件 ， 并 准许 访问 /run 路 径 。 在 Puppet 2.7 版 本 中 ，Agent 把 代码 加 到 了 auth.conf 文 件 中 。 


#/etc/puppet/auth.conf 
path /run 

method find, search, save 
auth yes 

allow example.puppet.com 


确认 Agent 监 听 TCP 8139 端 口 和 授权 /run 访 问 路 径 后 便 可 以 使 用 ， 通 过 puppet kick 命 令 发 送 ICMP 包 给 指定 的 Agent， 并 忽略 那些 没有 响应 的 机 器 。 具 体 如 下 : 


# puppet kick -p 10 -t test -host example.puppet.com 


代码 执行 后 可 以 看 一 下 Agent 端 的 /tmp/testing 内 容 与 时 间 截 是 否 已 经 变更 。 


[1] MD5 (Message Digest Algorithm) 为 计算 机 安全 领域 广泛 使 用 的 一 种 散 列 函数 ， 用 以 提供 对 消息 的 完整 性 保护 。 


第 5 章 ”通过 Puppet 构 建 主机 


目前 我 们 已 经 对 Puppet 的 安装 环境 、 配 置 文件 和 常用 命令 参数 有 了 基本 的 了 解 。 本 章 主要 串联 前 几 章节 的 知识 点 来 讲解 Agent 首 次 访问 Master 的 配置 过 程 ， 介 绍 Puppet 配 置 管理 的 两 个 重要 组 成 部 分 
一 一 manifests 和 modules 目 录 ， 包 括 两 个 目录 都 存放 了 什么 ， 作 用 是 什么 ， 并 结合 Apache 案 例 介 绍 如 何 通过 Puppet 构 建 主机 。 另 外 当 我 们 通过 Puppet 来 管理 海量 的 服务 器 时 ， 错 误 的 配置 可 能 导致 严 寻 
的 后 果 ，Puppet 是 如 何 解决 这 样 问题 的 呢 ? 下 面 让 我 们 带 着 这 些 问题 来 寻找 答案 。 


mn 


5.1 Agent 首 次 访问 Master 配 置 过 程 


Puppet 配 置 管理 工具 的 常见 使 用 场景 就 是 Agent 访 问 Master 来 获取 配置 信息 ， 也 就 是 我 们 之 前 介绍 的 C/S 架 构 ， 这 里 让 我 们 以 最 基本 的 方式 来 配置 Master 和 Agent， 看 它们 是 如 何 工作 的 。 首 次 配置 
Agent 访 问 Master， 笔 者 将 它 分 为 4 个 部 分 ， 每 个 部 分 又 有 详细 的 步骤 和 注意 事项 。 首 先 创建 site.pp 文 件 和 目录 ， 然 后 启动 Master 守 护 进程 ， 再 次 确认 防火 墙 和 网 络 配置 ， 最 后 通过 Agent 访 问 Master， 整 
个 过 程 结 束 。 下 面 让 我 们 来 分 别 看 一 下 这 4 部 分 内 容 。 


5.1.1 创建 site.pp 文 件 和 目录 


/etc/puppet/manifests/site.pp 文 件 (下 称 site.pp) 是 Puppet 站 点 的 导航 文件 ，Agent 访 问 Master 的 一 切 配置 管理 工作 都 由 site.pp 文 件 开始 的 ， 它 的 作用 是 告诉 Master 寻 找 并 载 入 Agent 的 配置 信 
息 。 默 认 情况 下 site.pp 文 件 会 存放 在 /etc/puppet/manifests 目 录 中 ， 我 们 要 提前 确认 一 下 /etc/puppet/manifests 目 录 和 site.pp 文 件 是 否 存 在 ， 如 果 它 们 不 存在 则 Master 是 拒绝 启动 的 。 所 以 首次 配置 
Puppet 的 话 ， 应 先 自 行 创建 上 述 目录 和 文件 。 创 建 命 令 如 下 : 


# mkdir /etc/puppet/manifests 
# touch /etc/puppet/mainifests/site.pp 


创建 manifests 目 录 和 site.pp 文 件 ， 为 了 后 续 调试 Agent 访 问 Master 过 程 中 方便 看 到 结果 。 首 次 可 以 将 notify 资 源 追 加 到 site.pp 文 件 中 ， 并 在 notify 资 源 内 赋值 “hello world”，notify 资 源 的 作用 就 是 
将 值 输出 到 屏幕 上 。 具 体 如 下 : 


# echo 'notify{"hello world": }' > /etc/puppet/mainifests/site.pp 


当 Agent 访 问 Master 时 会 调用 site.pp 文 件 中 的 notify 资 源 ， 将 其 值 (hello world) 在 屏幕 上 输出 。 如 果 我 们 看 到 了 屏幕 的 输出 ， 这 就 表明 Agent 已 经 成 功 地 访问 了 Master。 


加 注意 ”manifests 是 Puppet 中 的 术语 ， 是 指 包含 配置 信息 的 目录 。Puppet 所 有 配置 文件 都 以 .pp 作为 扩展 名 。manifests 目 录 和 site.pp 文 件 的 默认 路 径 可 以 在 puppetconf 的 [mastetl 区 段 中 修改 ， 通 过 修改 
Puppet.conf 中 的 mainfestdir 参 数 来 更 新 manifests 默 认 值 ， 通 过 修改 manifest 参 数 来 修改 site.pp 文 件 默 认 值 。 


5.1.2 ”Master 配置 


Master 在 UNIX/Linux 系 列 服务 器 上 以 Demon (中 文 翻译 为 守护 进程 ， 下 称 守 护 进 程 ) 形式 启动 ， 启 动 后 默认 监听 TCP 8140 端 口 向 外 提供 的 服务 。 在 启动 Master 前 首先 确认 puppet.conf 配 置 文件 是 
否 已 经 存在 并 正确 配置 ， 这 里 可 以 参考 第 4 章 中 的 puppet.conf 来 配置 。 确 认 puppet.conf 配 置 文件 没有 问题 后 ， 通 过 以 下 命令 和 参数 方式 启动 Master 的 守护 进程 ， 其 中 daemonize 参 数 表 示 将 进程 信息 发 
送 到 标准 输出 ; verbose 参 数 表示 输出 扩展 信息 ， 我 们 将 它 的 输出 信息 重 定向 到 master.log 文 件 中 。 实 现 命 令 如 下 : 


# nohup puppet master --verbose --no-daemonize >> master.1og 2>&1 & 


启动 Master 前 ， 守 护 进 程 会 对 一 些 目录 、 文 件 权限 、 主 要 配置 文件 进行 预 检 ， 预 检 内 容 包 括 相关 文件 /目录 是 否 存在 ， 各 目录 和 文件 权限 是 否 正确 等 。 通 过 这 种 启动 方式 默认 会 输出 详细 的 预 检 的 信息 
幕 上 ( 注 : 由 于 我 们 重 定向 了 输出 日 志 ， 这 里 可 以 到 master.log 文 件 中 查看 Master 输 出 信息 ) ， 如 图 5-1 所 示 。 若 守护 进程 首次 启动 失败 ， 这 些 输出 的 预 检 信 息 可 以 方便 我 们 定位 和 查找 失败 的 原因 。 


到 


[4 


Master 守 护 进 程 正常 启动 后 ， 最 好 再 通过 系统 命令 netstat--tnl 确 认 TCP 8140 端 口 是 否 启动 ， 如 图 5-2 所 示 。 如 果 端 口 启动 则 说 明 Master 已 经 正常 工作 。 


notice: Starting Puppet master version 2.7. 21 
: mount [files]: allowing * access 


: access[ /catalog/ ([ /J]+)$]: allowing ’ method find 


: access[ /catalog/([ /]+)$]: allowing $1 access 
: access[ /node/([ /J+)$]: allowing ’ method find 
: access[ /node/([ /J+)$]: allowing $1 access 

: access[/certificate_revocation list/ca]l: allowing “method find 
: access[/certificate revocation list/ca]: allowing * access 


: access[ /report/([ /J]+)$]: allowing ’ method” save 


: access[ /report/([ /J+)$]: allowing $1 access 
: access[/file]: allowing * access 


: access[/certificate/ca]: adding authentication any 


: access[/certificate/ca]: allowing ’ method find 
: access[/certificate/ca]: allowing * access 

: access[/certificate/]: adding authentication any 
: access[/certificate/]: allowing“method find 

: access[/certificate/]: allowing +* access 

: access[/certificate request]: adding authentication any 
: access[/certificate request]: allowing method find 

: access[/certificate request]: allowing ’ method’ 
: access[/certificate request]: allowing * access 


: access[/]: adding authentication any 


: access[/tmp]: adding authentication any 


: access[/tmp]: allowing ”method find 
: access[/tmp]: allowing ’ method save 


: access[/tmp]: allowing * access 
: Inserting default ' /status” (auth true) ACL because none were found in ’' /etc/puppet/auth. conf 


图 5-1 启动 守护 进程 


Save 


LISTEN 


侣 注意 Master 的 守护 进程 启动 后 默认 会 将 日 志 信息 输出 到 系统 的 Syslog， 这 些 


息 ，RedHat 和 Suse 可 以 查看 /var/log/messages，Debian 和 Ubuntu 可 以 到 /var/log/daemon.log 中 查找 输出 信息 。 


Master 启 动 后 会 根据 puppet.conf 文 件 中 的 ssldir 参 数 的 路 径 创建 证 书目 录 ， 用 


drWwxrWx——x 
rwWxrWxrwx 
drWXTWX 一 一 一 
Grwrr Xr 
drwer—yr = 六 


-IW-T-—-I— 
drwxr—xX——— 
drWXT 一 X 一 一 一 
drwxr—xr—x 


5.1.3 ”防火 墙 配 置 


8 
12 


puppet users 

1004 users 
puppet puppet 
puppet users 
puppet users 
puppet users 
puppet users 
puppet users 
puppet users 


来 缓存 SSL 信 息 和 证 书 文件 ， 如 图 


4096 QUct 


4096 Dec 
4096 Oct 
4096 Oct 

922 Oct 
4096 Oct 
4096 Oct 
4096 Oct 


图 5-3 证 书目 录 


5-2 ”确认 Master 启 动 方式 


5-3 所 示 。 


15:19 
18:59 
16:40 
Tol 
Tol 
15:19 
15sL9 
T5231 
TEL 


信息 包含 Agent 访 问 信息 和 从 Master 拉 取 的 配置 信息 等 。 读 者 可 以 根据 安装 系统 的 发 行 版 本 来 查找 守护 进程 的 输出 信 


ca 
certificate requests 
certs 

crl. pem 

private 

private keys 

public keys 


确认 Master 守 护 进程 成 功 启动 后 ， 还 需要 确认 Master 所 在 机 器 的 iptables (防火 墙 ) [1] 是 否 已 经 开放 本 机 TCP 8140 端 口 访 问 限制 ， 以 便 Agent 可 以 正常 访问 Master 而 不 受 规则 限制 。 


开放 iptables 防 火 墙 对 8140 端 


的 限制 。 


体 如 下 : 


# iptables -t filter -A INPUT -p tcp -m state -state NEW --dport 8140 -j ACCEPT 


下 面 来 了 解 一 下 iptables 的 参数 。 


“ -为 参数 接 表 名 ， 目 前 它 有 3 个 表 ， 即 mangle 表 、nat 表 和 fileter 表 。 其 中 mangle 表 用 来 对 数据 打 标记 ，nat 表 对 数据 进行 转发 ，filter 表 主要 用 来 过 滤 数 据 。 


“ -A 为 参数 接 链 名 ， 不 同 的 表 中 的 链 是 不 一 样 的 ， 目 前 flter 表 有 3 个 链 ， 即 INPUT 链 、OUTPUT 链 和 FORWYWARD 链 。 其 中 INPUT 链 表示 进入 防火 墙 的 数据 ，OUTPUT 链 表示 离开 防火 墙 数据 ，FORWARD 


链 为 通过 nat 表 转发 的 数据 。 


: -p 参 数 后 接 协议 ， 目 前 支持 3 种 协议 ， 即 tcp、udp 和 icmp 协 议 。 


. -m 参 数 后 接 stat， 其 拥有 4 种 状态 ， 即 INVALID、ESTABLISHED、NEW 和 RELATED， 其 中 NEW 状 态 表 示 将 要 或 正在 建立 的 第 一 个 连接 。 
“ --dport 参 数 后 接 目 地 端口 。 
“ Jj 参数 后 接 ACCEPT (其 含义 为 放行 ) 或 DROP (其 含义 为 丢弃 ) 。 


加 注意 根据 所 在 的 网 络 环境 ， 成 功 启 动 Master 的 TCP 8140 端 口语 ， 除 了 加 防火 墙 规 则 外 还 需要 确认 网 络 层面 和 路 由 器 的 策略 是 否 会 影响 到 Master 和 Agent 的 正常 访问 。iptables 命 令 的 参数 区 分 大 小 写 。 


5.1.4 Agent 配 置 


相对 于 Master 的 配置 来 说 ，Agent 的 配置 在 这 里 要 更 简单 一 些 ， 建 议 初学 者 将 Agent 独 立 运行 于 crontab 定 时 任务 中 ， 只 需要 告诉 它 Master 的 域名 和 IP 地 址 就 可 以 了 。 首 先 需要 在 Agent 上 配置 指向 
Master 的 域名 ， 这 里 有 两 种 配置 方式 : 一 种 方式 是 在 第 3 章 介绍 过 的 Dnsmasq 系 统 ， 作 为 一 个 轻 量 级 的 域名 解析 系统 ， 在 维护 1000 台 以 下 服务 器 时 可 以 使 用 它 ; 另 一 种 更 简单 一 些 ， 这 里 推荐 测试 时 通过 设 
置 /etc/host 文 件 的 形式 来 指定 Master 的 域名 。 笔 者 将 整个 Agent 访 问 Master 过 程 分 为 了 4 个 步骤 。 


步骤 1 在 Agent 上 设置 host。 


首次 访问 需要 在 Agent 上 配置 指向 Master 的 域名 ， 但 是 域名 需要 通过 DNS (域名 系统 ) 注册 后 才能 使 用 ， 而 注册 域名 并 不 是 我 们 学 习 的 重点 ， 所 以 为 了 降低 学 习 的 成 本 ， 测 试 期 间 最 简单 的 方法 就 手动 
编辑 /etc/hosts 文 件 ， 在 其 中 配置 一 个 虚拟 域名 ( 即 在 DNS 系统 中 没有 注册 的 域名 ) ， 系 统 会 优先 解析 DNS 中 的 域名 ， 当 找 不 到 要 解析 的 域名 后 ， 访 问 本 机 /etc/hosts 文 件 继续 解析 域名 的 关系 ， 而 我 们 可 
以 通过 在 /etc/hosts 增 加 虚拟 域名 访问 关系 的 方式 来 绕 开 DNS， 以 满足 Master 访 问 Agent 的 环境 需求 。 增 加 虚拟 域名 (puppet.example.com) 到 /etc/hosts 文 件 方式 具体 命令 如 下 : 


# echo "puppet.example.com 192.168.1.1" >> /etc/hosts 


追加 虚拟 域名 后 要 通过 系统 ping 命 令 确 认 域 名 是 否 可 以 正常 解析 。 


# Ping puppet .example.com 


步 又 2 测试 Agent 访 问 Master。 


确认 配置 的 虚拟 域名 可 以 正常 解析 后 ， 在 Agent 通 过 puppet agent 命 令 后 接 server 参 数 加 域名 (如 puppet.example.com) 指定 Master 服 务 器 的 域名 ; 加 test 参 数 ，test 参 数 是 一 些 命令 的 集合 ， 通 过 
它 可 以 打开 onetime、verbose、ignorecache、no-daemonize、no-usecacheonfailure、detailed-exit-codes、no-splay 和 show diff 等 一 系列 参数 。 若 首次 访问 会 提示 (peer certificate wont be 


verified in this SSL session) 认证 失败 信息 ， 具 体 如 下 : 


# puppet agent --server Puppet .exarmple.com --test 

info: Creating a new SSL key for puppet agent 

warning: peer certificate won't be verified in this SSL session 
warning: peer certificate won't be verified in this SSL session 
notice: Did not recive certificate 


之 所 以 会 出 现 上 边 的 认证 失败 ， 是 因为 Master 没 有 对 Agent 授 权 签 名 ， 这 时 需要 到 Master 上 对 Agent 的 Hostname 授 权 签 名 。 


@ 注 意 如 果 不 想 在 puppet agent 参 数 后 指定 Mastet 的 域名 ， 也 可 以 在 Agent 的 配置 文件 /etc/puppet/puppet.conf 的 [main] 段 增加 参数 servetr=puppet.example.com， 增 加 后 可 以 直接 在 终端 通过 puppet agent--test 


的 形式 访问 Master。 


步骤 3 ”Master 对 Agent 进 行 签名 。 


如 步骤 2， 当 Agent 首 次 访问 SSL 信 息 认 证 失败 后 ，Master 需 要 通过 puppet cert 命 令 加 list 参 数 的 方式 查看 等 待 证 书 认 证 的 机 器 列表 ， 具 体 如 下 : 


# puppet cert --list 
" puppet agent " (8F: 40; 14: 96: 7C: 29: 44:; 01: FC: 33: EE: 84: 58: 9C: B2: 71) 


其 中 puppet_agent 是 等 待 签名 Agent 的 Hostname。 再 次 通过 puppet cert 加 sign 参 数 加 Agent 的 Hostname (如 puppet_agent) 的 方式 授权 证 书签 名 ， 具 体 如 下 : 


# puppet cert --sign puppet agent 
Signed puppet agent 


@ 提 示 。 在 第 4 章 中 我 们 介绍 过 除了 在 Master 上 手动 签名 外 ， 还 可 以 通过 autosign.conf 配 置 文件 对 Agent 进 行 自动 签名 。 如 果 读 者 对 自己 的 网 络 策略 与 安全 状况 比较 了 解 ， 推 荐 通过 autosign.conf 自 动 授权 方 
式 来 授权 签名 。 


步骤 4 ”Agent 成 功 访问 Master 并 获取 配置 信息 。 


在 Master 对 Agent 的 证 书签 名 后 ， 再 次 返回 Agent 机 器 ， 这 时 Master 已 经 授权 Agent 的 证 书签 名 ， 签 名 后 的 Agent 根 据 Hostname 信 息 匹 配 site.pp 文 件 中 的 配置 信息 并 显示 响应 结果 ， 具 体 如 下 : 


# puppet agent --server puppet .example.com --test 

info: Creating a new SSL key for puppet agent 

warning: peer certificate won't be verified in this SSL session 

info: Caching certificate for ca 

warning: peer certificate won't be verified in this SSL session 

warning: peer certificate won't be verified in this SSL session 

info: Creating a new SSL certificate request for puppet agent 

info: Certificate Request fingerprint (md5) : 8F: 40: 14: 96: 7C: 29: 44: 01: FC: 33: EE: 84: 58: 9C: B2: 71 
notice: Starting Puppet client version 2.7.25 

info: Caching catalog for puppet agent 

info: Applying configuration version '1375433624' 

notice: hello world # notify 资 源 输出 信息 

notice: /Stage [main]//Node [qefault]/Notify[default]/message: defined 'message' as 'hello world' 
notice: Finished catalog run in 0.15 seconds 


从 以 上 显示 的 结果 中 可 以 看 到 ，5.1.1 节 中 的 site.pp 文 件 ， 通 过 调用 系统 notify 资 源 将 “hello world” 信息 输出 到 Agent 标 准 输出 ， 说 明 Agent 已 经 成 功 获取 Master 的 配置 信息 。 到 目前 为 止 我 们 已 经 成 
功 完 成 了 配置 一 台 Agent 服 务 器 访问 Master 的 过 程 ， 并 从 Master 获 取 相 应 的 信息 。 整 个 配置 过 程 是 比较 简单 的 ， 笔 者 觉得 容易 出 问题 的 是 证 书 认 证 环节 。 在 这 个 环节 可 能 导致 证 书 出 问题 的 情况 有 很 多 种 ， 
所 以 没有 在 这 里 过 多 介绍 ， 需 要 读者 根据 自己 的 情况 通过 搜索 引 警 来 寻找 答案 。 更 多 信息 请 参考 官方 网 站 http://projects.puppetlabs.comy/projects/puppet/wiki/ruby_ssl| 2007_006。 


@@ 注 意 ”多 数 连 接 失 败 可 能 是 系统 时 间 不 统一 导致 的 ，SSL 连 接 依赖 主机 上 的 系统 时 间 ， 如 果 Master 和 Agent 上 的 系统 时 间 不 正确 ， 很 有 可 能 导致 连接 的 失败 或 者 得 到 错误 信息 导致 证 书 不 被 信任 。 读 者 可 
以 通过 NTP (网 络 时 间 协 议 ) 来 尽量 确保 机 器 时 间 的 正确 和 统一 。 


四 关于 Iptables 的 更 多 信息 可 以 参考 互联 网 上 《Iptables 指南 1.1.19》 这 篇 文章 。 


5.2 manifests 和 modules 目 录 介 绍 


在 上 一 节 我 们 介绍 了 Agent 首 次 访问 Master 的 配置 步骤 和 注意 事项 ， 其 只 是 通过 Puppet 来 管理 海量 服务 器 的 一 个 开始 ， 我 们 还 需要 继续 深入 了 解 manifests 和 modules 这 两 个 目录 ， 它 们 才 是 Puppet 
配置 管理 服务 器 的 重要 组 成 部 分 。 其 中 manifests 目 录用 于 存放 服务 器 配置 管理 文件 ， 这 些 文件 需要 以 .pp 为 文件 扩展 名 (建议 文件 使 用 UTF-8 编 码 字 符 集 ， 为 后 续 与 Puppetdb 结 合 英 定 基础 ) 。 另 外 我 们 也 
可 以 将 manifests 目 录 看 做 配置 管理 的 清单 目录 ， 清 单 中 包含 代码 逻辑 和 Agent 入 口 文件 。 罗 辑 部 分 会 在 第 6 章 详细 介绍 ， 本 章 主 要 介绍 Agent 的 入 口 文件 ， 即 site.pp 文 件 。modules 目 录 又 称 基础 模块 目 
录 ， 可 以 将 它 看 做 仓库 ， 仓 库 中 的 模块 可 以 提供 清单 文件 重复 使 用 ， 仓 库 中 主要 存放 class 类 文件 和 基础 模块 相关 的 配置 文件 等 。 


5.2.1 manifests 目 录 介 绍 


manifests 目 录 中 存放 了 配置 管理 代码 逻辑 和 site.pp 入 口 文件 ， 所 有 的 Agent 访 问 Master 时 都 优先 匹配 到 site.pp 文 件 中 的 node 节 点 ， 节 点 与 节点 间 有 支持 继承 。 这 里 又 多 了 两 个 概念 node 节 点 与 继 


1.node 节 点 


在 之 前 的 章节 中 我 们 将 Puppet 的 客户 端 称 为 Agent， 在 本 小 节 中 Agent 在 site.pp 文 件 中 又 被 称 为 node (中 文 翻译 节点 ， 下 称 node 节 点 ) 。 其 实 它们 是 一 个 意思 ， 只 是 一 个 标识 Master 端 ， 一 个 标识 
Agent 端 。 当 Agent 访 问 Master 获 取 配 置 时 ，Master 会 通过 facter 工 具 获取 Agent 的 Hostname， 并 通过 Hostname 自 动 匹 配 site.pp 文 件 中 的 node 节 点 拉 取 配置 信息 ， 这 就 是 node 节 点 的 作用 。site.pp 文 
件 中 可 以 设置 一 个 node 节 点 ， 也 可 以 设置 多 个 ， 如 图 5-4 所 示 。 它 既 支 持 正则 表达 式 匹 配 ， 也 支持 node 节 点 间 继 承 ，node 节 点 功能 灵活 而 又 强大 。 


#/etc/puppet/manifests/site.pp 


noed "Web .Puppet .com ' { 


} 


noed "cache .puppet .com'{ 


} 


noed "daqb .puppet .com ' { 


数据 库 db 


5-4 ”多 Agent 访 问 Master 的 node 节 点 


下 面 来 看 一 下 site.pp 文 件 中 定义 的 node 节 点 格式 。 


node 'web.puppet.com' { 
省 略 
node 'cache.puppet.com' { 
# 省 略 


node 'db.puppet.com' { 
# 省 略 


} 


在 site.pp 文 件 中 通过 node 节 点 分 别 定义 web.puppet.com、cache.puppet.com 和 db.puppet.com 来 管理 不 同 来 源 的 Agent 节 点 ， 当 Agent 访 问 Master 时 就 会 匹配 这 些 节点 ， 并 获取 node 节 点 中 的 配 
置信 息 。 下 面 介 绍 一 下 通过 node 节 点 来 分 别管 理 一 个 站 点 、 多 个 站 点 、 正 则 表达 式 匹配 站 点 和 默认 方式 管理 站 点 的 使 用 场景 (由 于 篇 幅 原 因 ， 本 小 节 只 以 代码 片段 形式 介绍 node 节 点 在 各 种 情况 下 的 使 用 
场景 ) 。 


2.node 节 点 管理 一 个 站 点 


以 下 为 node 节 点 管理 一 个 站 点 的 配置 方式 : 


node 'wwwl.example.com' { 
include common 
include apache 
include squid 

} 


其 中 node 为 系统 关键 字 ，ww1.example.com 是 Agent 的 Hostname; 大 括号 中 内 容 为 基础 模块 信息 。 当 Agent 访 问 Master 时 会 根据 它 的 机 器 Hostname 自 动 匹配 site.pp 文 件 中 node 节 点 信息 ， 并 通过 


系统 提供 的 include 函 数 加 载 common、apache 和 squid 类 文件 ， 这 些 类 文件 中 包含 配置 apache 类 和 配置 squid 类 的 基本 配置 信息 ， 还 有 它们 所 需要 用 到 的 公用 库 common 类 等 ，Puppet 会 根据 顺序 加 载 
common 类 、apache 类 和 squid 类 ， 并 在 Agent 上 应 用 这 些 信 息 。 


3.node 节 点 管理 多 个 站 点 


以 下 为 node 节 点 管理 多 个 站 点 的 配置 方式 : 


node 'wwwl .exarmple.com'{ 
include common 
include apache, squid 

} 

node 'www2.example.com'{ 
include common 
include apache 


} 


www1.example.com 和 www2.example.com 分 别 代表 不 同 组 Agent 的 Hostname， 当 Hostname 为 www1.example.com 时 ， 访 问 Master 会 依次 加 载 common 类 、apache 类 和 squid 类 文件 ; 当 
Hostname 为 www2.example.com 时 会 加 载 common 类 文件 和 apache 类 文件 ; 如 果 多 个 Agent 访 问 Master， 且 需要 加 载 的 类 文件 是 一 致 的 ， 也 可 以 用 以 下 的 书写 格式 : 


node 'wwwl.example.com', 'www2.example.com', 'www3.example.com' { 
include common 
include apache, squid 

} 


这 些 站 点 访问 Master 时 会 依次 加 载 common 类 、apache 类 和 squid 类 文件 ， 并 拉 取 这 些 类 中 的 配置 信息 。 


4.node 节 点 正则 表达 式 方式 管理 站 点 


如 果 管 理 的 站 点 比较 多 而 且 有 一 定 的 规律 ， 还 可 通过 正则 表达 式 来 管理 它们 。 在 site.pp 文 件 中 支持 使 用 Ruby 的 正则 表达 式 ， 通 过 正则 表达 式 可 以 让 我 们 方便 地 匹配 有 规律 的 node 节 点 。 下 面 来 匹配 一 
个 以 www 开 始 后 接 一 个 或 多 个 数字 开头 的 网 站 ， 如 www1、www2， 直 到 www10， 通 过 以 下 正则 表达 式 都 可 以 匹配 到 。 


node /^www\d+$/ { 
include common 


bE 


当 Agent 的 Hostname 来 自 www1.example.com、www2.example.com 直 到 www10.example.com 时 ， 都 会 匹配 site.pp 中 的 这 个 正则 表达 式 ， 并 加 载 common 类 文件 。 


我 们 再 来 看 一 个 例子 ， 匹 配 来 源 是 foo.example.com 或 bar.example.com 两 个 Agent 站 点 信息 ， 正 则 表达 式 如 下 : 


node / (foolbar)\.example\.com$/ { 
include common} 


通过 正则 表达 匹配 到 foo.example.com 或 bar.example.com 两 个 Agent 时 会 加 载 common 类 文件 。 


5. 默 认 node 节 点 


Agent 访 问 Master 时 会 读 取 site.pp 文 件 中 的 node 节 点 列表 ， 并 从 上 到 下 依次 匹配 node 节 点 中 的 配置 信息 ， 如 果 没 有 匹配 到 相应 的 node 节 点 它 就 会 报错 ， 并 提示 Hostname 的 配置 节点 不 存在 。 这 种 情 
况 多 数 可 能 是 由 于 新 增 Agent 导 致 的 错误 ， 但 对 刚 接 触 Puppet 的 用 户 来 说 信息 并 不 友好 ， 不 知道 下 面 该 做 什么 。 有 什么 办 法 可 以 避免 这 种 报错 吗 ? 其 实 不 用 担心 ， 还 可 以 在 site.pp 文 件 中 设置 default 默 认 


node default { 
notify{ 
"error! not match your node , this is default node": 
} 

} 


当 Agent 访 问 Master 的 site.pp 文 件 没 有 匹配 到 相应 的 node 节 点 时 ， 就 会 匹配 这 个 默认 节点 ， 默 认 节 点 中 会 调用 notify 资 源 在 屏幕 输出 “errorlnot match your node，this is default node”， 这 样 的 
处 理 方式 也 形成 Puppet 配 置 管理 的 一 个 闭环 ， 提 升 异常 情况 下 的 用 户 体验 。 


5.2.2” ”modules 目录 介绍 


modules 目 录 又 称 “ 基 础 模块 ”目录 ， 它 由 不 同 的 目录 和 class 类 文件 组 成 ， 这 些 目录 和 文件 是 完成 一 个 任务 的 子 集 ， 最 终 可 以 通过 manifests 串 联 modules 中 的 这 些 子 集 来 完成 一 个 完整 任务 ， 这 就 是 
基础 模块 的 作用 。 获 取 modules 基 础 模块 的 方式 有 两 种 ， 一 种 是 从 官方 获取 基础 模块 ， 另 一 种 是 自己 开发 基础 模块 。 首 先 来 了 解 一 下 modules 基 础 模块 的 目录 结构 ， 然 后 了 解 如 何 从 官网 获取 基础 模块 。 


1.modules 基 础 模块 目录 结构 


标准 的 modules 基 础 模块 目录 包含 6 个 目录 ,分别 是 manifests、files、templates、lib、tests 和 spec。 来 看 一 下 这 些 目录 的 作用 和 目录 内 存放 的 文件 都 是 什么 。 


以 下 是 modules 基 础 模块 的 目录 格式 。 


/etc/puppet/modules/my module 
| manifests/ 


下 面 简单 分 析 一 下 Puppet 基 础 模块 的 目录 中 存放 的 内 容 。 

- 第 1 行 : 基础 模块 默认 根 路 径 ， 其 中 my_module 为 基础 模块 的 名 字 。 

- 第 2 行 : manifests 目 录 存 放 基础 模块 的 类 文件 和 资源 等 。 

. 第 3 行 : fles 目 录 存 放 基础 模块 的 配置 文件 ， 目 录 中 配置 文件 可 以 通过 Puppet 文 件 协议 下 载 到 Agent 上 。 


' 第 4 行 : lib 目 录 存 放 Puppet 的 插件 、 自 定义 函数 、Provider 和 库 文件 等 ,更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/ guides/plugins_in_modules.html。 


“ 第 5 行 : templates 目 录 存 放 ERB 模 板 文件 ， 会 在 第 8 章 详细 介绍 Puppet 的 ERB 模 板 文件 。 


Ne 


~ 


“ 第 6 行 : tests 目 录 存 放 Puppet 基 础 模块 类 测试 的 用 例文 件 。 
: 第 7 行 : spec 目 录 存 放 测试 文件 和 插件 库 文 件 。 
加 注意 第 2 行 modules 基 础 模块 中 的 manifests 目 录 经 常 与 /etc/puppet/manifests 目 录 混 淆 ， 这 两 个 目录 并 不 一 样 ， 需 要 读者 注意 。 


2.Puppet Forge 获 取 基 础 模块 


Puppet Forge 是 一 个 免费 的 modules 基 础 模块 仓库 ， 我 们 可 以 无 需 独立 开发 基础 模块 ， 直 接 从 官方 网 站 上 获取 我 们 想 要 的 基础 模块 。 另 外 Puppet Forge 也 提供 途径 让 发 布 自己 开发 的 模块 ， 很 多 热心 
的 网 友 将 自己 开发 好 的 modules 基 础 模块 通过 官方 网 站 分 享 给 他 人 使 用 。 目 前 Puppet Forge 提 供 两 种 方式 获取 基础 模块 ， 一 种 方式 可 以 在 官方 网 页 搜索 基础 模块 ， 另 一 种 方式 是 通过 Puppet 提 供 的 puppet 
module 工 具 命 令 来 搜索 和 安装 基础 模块 。 如 果 读 者 所 在 的 环境 可 以 访问 网 络 ， 建 议 通 过 puppet module 工 具 命令 方式 来 安装 基础 模块 ， 如 果 不 能 访问 网 络 ， 可 以 通过 能 访问 网 络 的 机 器 到 官网 搜索 基础 模 
块 ， 下 载 后 将 基础 模块 包 移动 到 生产 环境 中 的 modules 路 径 上 。 下 面 来 了 解 一 下 通过 网 站 获取 基础 模块 和 通过 puppet modules 工 具 获 取 基 础 模块 的 两 种 方式 。 


(1) 通过 网 站 搜索 


通过 官方 网 站 搜索 基础 模块 可 以 访问 http://forge.puppetlabs.com/ 网 站 ， 借 助 网 站 的 右边 搜索 框 可 以 搜索 到 需要 的 基础 模块 ， 如 图 5-5 所 示 。 将 搜索 到 的 基础 模块 下 载 后 放 到 Master 的 基础 模块 默认 
路 径 (/etc/puppet/modules/) 就 可 以 了 。 


G https://forge.puppetlabs.com 
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图 5-5 官网 搜索 基础 模块 


(2) puppet module 工 具 获 取 模 块 


另 一 种 获取 基础 模块 的 方式 在 第 4 章 介绍 过 ， 就 是 通过 puppet module 工 具 来 获取 基础 模块 。puppet module 工 具 可 以 通过 install 参 数 安装 基础 模块 ， 通 过 search 参 数 查找 相应 的 基础 模块 ， 具 体 如 
下 。 


通过 search 参 数 查 找 Apache 的 基础 模块 如 下 : 


# puppet module search apache 


通过 install 参 数 安装 Apache 的 基础 模块 ， 并 通过 子 参数 --version 指 定 Apache 的 版 本 。 除 了 version 子 参数 外 ， 还 包含 以 下 的 辅助 参数 。 
“ --force 参 数 : 强制 重新 安装 模块 。 

“ --environment 参 数 : 指定 安装 环境 。 

“ --modulepath 参 数 : 指定 模块 目录 ， 通 常用 于 指定 自 定义 的 模块 目录 。 


“ --igore-dependencies 参 数 : 忽略 依赖 。 


# puppet module install puppetlabs-apache --version 0.0.2 


puppet module 工 具 会 从 puppetlabs 官 方 网 站 下 载 Apache 的 基础 模块 ， 并 将 基础 模块 安装 到 系统 模块 的 默认 路 径 ， 即 /etc/puppet/modules/apache/ 目 录 下 。 


注意 puppet module 基 础 模块 工具 目前 尚未 支持 微软 Windows 系 列 操作 系统 。 


5.3 class 类 的 介绍 


下 面 来 了 解 一 下 什么 是 class 类 。 在 很 多 编程 语言 中 都 可 以 看 到 class (中 文 译 为 “类 ” ) 的 身影 ， 如 Java 中 就 有 类 的 概念 。 那 什么 是 类 呢 ? 《Java 编 程 思想 》 是 这 样 定义 的 : “类 是 具有 相同 特性 和 行为 
的 对 象 集 合 ”。 在 Puppet 中 class 类 的 作用 是 行为 与 资源 的 集合 。 在 Puppet 中 定义 class 类 通常 有 两 种 方式 ， 一 种 方式 是 定义 无 参数 class 类 方式 ， 另 一 种 方式 是 定义 有 参数 class 类 方式 。 我 们 以 代码 片段 形式 
来 看 一 下 这 两 种 class 类 定义 方式 。 


5.3.1 ”定义 无 参数 class 类 


我 们 以 修改 系统 的 /etc/passwd 和 /etc/shadow 文 件 属性 为 例 ， 介 绍 定义 无 参数 的 class 类 方式 。 编 辑 example.pp 文 件 ， 在 文件 中 定义 一 个 example 类 ， 其 中 example 是 它 的 类 名 ， 两 个 大 括号 中 存放 类 
的 配置 信息 。 此 类 完成 的 基本 功能 是 通过 file 资 源 来 修改 /etc/passwd 和 /etc/shadow 两 个 文件 权限 和 所 属 用 户 。 具 体 实现 如 下 : 


class example { 

file { '/etc/passwd': 
owner =>'root', 
group =>'root', 
mode =>'0644', 

} 

file { '/etc/shadow': 
owner =>'root', 
group =>'root', 
mode =>'0440', 

} 

E 


这 就 是 一 个 无 参数 的 example 类 ， 无 参数 类 顾名思义 就 是 没有 任何 参数 传 入 ， 整 个 配置 过 程 由 类 中 的 file 资 源 完成 ， 类 也 没有 任何 返回 状态 。 


5.3.2 ”定义 有 参数 class 类 


我 们 以 安装 Apache 为 例 介绍 定义 有 参数 的 类 。 编 辑 apache.pp 文 件 ， 在 文件 中 通过 class 关 键 字 定义 apache 类 ， 并 通过 小 括号 将 变量 和 值 gstat= “installed” 带 入 apache 类 中 ， 具 体 如 下 : 


class apache ($stat = 'installed') { 
Package {'httpd': 
ensure => $stat, 
before => File['/etc/httpd.conf'], 
} 


这 是 一 个 有 参数 的 类 ， 当 class 执 行 时 就 会 将 $stat 变 量 的 值 installed 带 入 package 资 源 ， 来 安装 Apache。 


5.4 ”继承 


Puppet 通 过 inherits 关 键 字 引入 了 继承 的 概念 ， 继 承 可 以 让 我 们 方便 地 重用 代码 ， 降 低 代码 重复 开发 和 改造 的 成 本 。 目 前 Puppet 提 供 两 种 继承 方式 ， 一 种 是 节点 继承 ， 另 一 种 是 类 的 继承 。 两 种 继承 使 
的 场景 是 不 一 样 的 ， 相 信 读 者 对 manifests 和 modules 两 个 目录 深入 了 解 后 会 深 有 体会 。 下 面 来 分 别 介绍 一 下 节点 继承 方式 与 类 继承 方式 。 


5.4.1 ”节点 继承 


节点 继承 方式 : 如 web 节 点 要 继承 一 个 base 节 点 ，base 节 点 包含 了 web 节 点 所 需要 的 基本 配置 信息 ， 程 序 会 自动 由 被 继承 的 base 节 点 开始 执行 ， 并 依次 加 载 common 类 和 apache 类 ， 有 具体 如 下 : 


node base 1{ 
include common 

node "web .example.com' inherits base { 
include apache 


} 


当 Agent 访 问 Master 时 会 匹配 web.example.com， 并 优先 加 载 base 节 点 中 的 common 类 ， 然 后 加 载 apache 类 。 这 样 当 多 个 节点 有 共同 的 属性 时 ， 就 可 以 将 它们 的 配置 抽象 到 一 个 base 节 点 中 ， 然 后 
以 每 个 节点 分 别 继承 这 个 base 节 点 的 方式 来 降低 代码 开发 的 成 本 。 这 是 节点 继承 的 优势 。 


5.4.2 ”类 继承 


类 继承 方式 : base::freebsd 类 继承 base::unix 类 中 的 file 资 源 。 首 先 base::linux 类 会 修改 /etc/passwd 文 件 信息 ， 修 改 其 组 合用 户 均 为 root， 权 限 为 644， 接 着 base::freebsd 类 会 覆盖 父 类 file 资 源 的 信 
息 ， 将 freebad 操 作 系统 发 行 版 本 中 的 /etc/passwd 文 件 修改 组 用 户 为 wheel， 有 具体 如 下 : 


class base::linux { 
file { '/etc/passwd': 
owner =>'root', 
group =>'root', 
mode =>'0644', 
} 
} 
class base::freebsd inherits base::unix { 
file['/etc/passwd'] { 
group => 'wheel', 
} 
} 


在 多 个 类 包含 相同 的 功能 时 ， 可 以 将 它们 抽象 为 一 个 base 基 础 类 ， 并 通过 其 他 类 来 覆盖 基础 类 的 内 容 ， 从 而 达到 提高 代码 可 用 率 ， 降 低 开发 成 本 的 效果 。 这 就 是 使 用 类 继承 的 优势 。 


@ 注 意 Puppet 目 前 不 支持 多 重 继承 。 


5.5 ”Puppet 构 建 主机 


在 上 一 节 中 我 们 介绍 了 Puppet 构 建 主机 的 两 个 重要 的 组 成 部 分 manifests 和 modules 目 录 ， 详 细 介绍 了 各 目录 的 结构 和 存放 文件 的 内 容 。 本 章节 将 延续 上 节 内 容 ， 通 过 自 定义 的 基础 模块 来 构建 主机 。 
这 里 以 安装 配置 Apache 为 例 ， 首 先 介绍 整体 目录 结构 ;然后 介绍 安装 模块 的 *.pp 文 件 ; 接着 介绍 在 site.pp 文 件 中 加 载 class 文 件 ; 最 后 介绍 同步 基础 模块 中 的 静态 文件 。 


5.5.1 ”基础 模块 目录 结构 


在 配置 Apache 前 ， 首 先 按照 基础 模块 目录 结构 来 创建 httpd 的 模块 目录 结构 和 *.pp 文 件 。 


# touch /etc/puppet/manifests/httpd/manifests/init.pp 

# touch /etc/puppet/manifests/httpd/manifests/install.pp 
# touch /etc/puppet/manifests/httpd/manifests/service.pp 
# mkdir -~p /etc/puppet/manifests/httpd/templates/ 

# mkdir -~p /etc/puppet/manifests/httpd/files/ 

# mkdir -p /etc/puppet/manifests/httpd/tests/ 


# mkdir -~p /etc/puppet/manifests/httpd/spec/ 


创建 目录 结构 后 ， 整 个 Puppet 目 录 结构 树 如 


5-6 所 示 。 


[ 


/etc/puppet 
auth. conf 
autosien. cont 
files/ 
fileserver. conf 
manifests/ 
site. pp 
modules/ 
_httpd 


_template/ 
|_httpd vhost. conf 


mainfests/ 
_init. pp| 
_install.pp 
_SErV1CE. pp 

file/ 

| httpd. conf 
_tests/ 
_spec/ 
_puppet. conf 
ssl/ 


_ tagmail. conf 


图 5-6” ”Puppet 目录 结构 树 


我 们 简要 地 介绍 一 下 基础 模块 (/etc/puppet/modules) 目录 结构 。 
“ template 目 录 : httpd_vhost.conf 文 件 是 Apache 虚 拟 主机 的 ERB 配 置 模板 ， 在 第 8 章 中 详细 介绍 。 
“ manifests 目 录 : init.pp 文 件 是 基础 模块 的 入 口 文件 ， 入 口 文件 名 必须 命名 为 init.pp。 它 还 包含 了 install.pp 文 件 ， 其 作用 是 Apache 安 装 的 类 ; service.pp 文 件 ， 其 作用 是 Apache 启 动 类 。 
“ file 目 录 : httpd.conf 文 件 是 Apache 的 守护 进程 配置 文件 ，Agent 可 以 通过 Puppet 文 件 协议 来 下 载 httpd.conf 配 置 文件 。 来 看 一 下 同步 基础 模块 中 文件 的 格式 和 案例 ， 如 表 5-1 所 示 。 


表 5-1 Puppet 基 础 模块 文件 同步 格式 和 案例 


协 议 反 斜 线 模 块 模块 名 下 载 文 件 


案例 : puppet: ///modules/my_module/service.conf 


这 部 分 内 容 在 第 4 章 中 介绍 过 ， 这 里 就 不 再 详细 介绍 。 
5.5.2 ”代码 文件 介绍 


我 们 来 依次 介绍 init.pp 文 件 、install.pp 文 件 和 service.pp 文 件 ， 它 们 是 Apache 安 装配 置 的 代码 文件 ， 其 中 init.pp 文 件 中 定义 了 httpd 类 ， 这 里 读者 需要 注意 init.pp 文 件 中 的 类 名 必须 与 基础 模块 的 路 径 
名 一 致 ， 如 图 5-7 所 示 。 在 第 6 章 中 会 详细 介绍 Puppet 的 文件 导入 功能 。install.pp 文 件 中 定义 了 Apache 的 安装 类 ;service.pp 文 件 中 定义 了 Apache 的 启动 类 。 下 面 来 分 别 看 一 下 这 些 文件 的 内 容 。 


目录 结构 。 目录 结构 与 代码 。 


/etc/puppet/modules/httpd+ 


|_ manifests/+ 

le |-init:pp* 
|_files/+ 

| |_httpd.conf. 
|_lib/» 

| templates/。 


| |_httpd.vhost.erb: 


|_tests/+ 
|_spec/* 


/etc/puppet/modules/httpd/manifests/init.pp* 


|] 


class httpdf* 
package{ "httpd :* 
name=> "9{fhttpd::params::packagename} 
ensure=> present,+ 


jh 


service { "httpd":+ 
name=> "S${httpd::params::servicename}"+ 


ensure => running,+ 


enable => true,+ 
pattern => "S${httpd: :params::servicepattern}", 


图 5-7 ”基础 模块 与 init.pp 文 件 


Tinit.pp 


/etc/puppet/modules/httpd/init.pp 文 件 是 Puppet 基 础 模块 的 默认 加 载 文 件 ， 在 这 里 可 以 通过 include 函 数 引用 install 安 装 类 和 service 启 动 类 ， 具体 如 下 : 


1 class httpd{ 

昌 include httpd::install 
| include httpd: : service 
加 少 


“ 第 1 行 : 定义 类 名 为 httpd，httpd 类 名 必须 与 基础 模块 (/etc/puppet/module/httpd) 目录 名 一 致 。 
“ 第 2~3 行 : 通过 Puppet 内 置 include 函 数 加 载 httpd::install 和 httpd::setrvice 类 ， 这 里 也 就 是 将 instal.pp 和 service.pp 文 件 中 的 类 引入 本 文件 中 。 
2.install.pp 


/etc/puppet/modules/httpd/install.pp 文 件 是 Apache 的 安装 类 。 


1 class httpd::installf{ 
2 package { 'apache2': 
3 ensure => present,} 
4 


} 


' 第 1 行 : 定义 类 名 为 httpd::install 。 
“ 第 2~3 行 : 调用 了 package 资 源 ， 并 设置 ensure 属 性 为 present， 意 思 是 安装 Apache。 
3.service.pp 


/etc/puppet/modules/httpd/service.pp 文 件 是 Apache 的 启动 类 。 


1 class httpd::service{ 

2 service {'apache2': 

ensure => running, 

hasstatus => true, 

hasrestart => true, 

enable => true, 

require => Class["httpd: :install"],} 


co ac w 


' 第 1 行 : 定义 类 名 为 httpd::service。 
“ 第 2~6 行 : 调用 系统 提供 的 资源 setvice 启 动 Apache。 在 第 7 章 详细 介绍 Puppet 的 资源 使 用 方法 和 属性 。 
“ 第 7 行 : setrvice 在 启动 Apache 前 需要 先 确认 httpd::install 类 是 否 被 引用 ， 并 正常 执行 安装 好 Apache。 这 里 的 Class 首 字母 需要 大 写 ， 会 在 第 7 章 中 详细 介绍 它 。 


加 注意 ”在 Puppet 中 的 类 是 单 例 的 ， 它 们 能 够 在 一 台 机 器 上 被 多 个 文件 加 载 引用 ， 但 是 只 会 被 请 求 一 次 。 


5.5.3 site.pp 加 载 配 置 文件 


到 目前 为 止 我 们 已 经 编写 好 了 安装 配置 Apache 基 础 模块 的 3 个 重要 文件 init.pp、install.pp 和 server.pp 文 件 ， 下 面 来 看 一 下 Agent 如 何 来 调用 这 个 基础 模块 。 编 辑 /etc/puppet/site.pp 文 件 ， 将 以 下 内 
容 追 加 到 site.pp 文 件 中 。 


node 'example.puppet.com' { 
include httpd 
} 


当 Agent 的 Hostname 为 example.puppet.com 时 访问 Master 会 自动 匹配 node 节 点 并 加 载 httpd 文 件 。 这 里 通过 include 加 载 httpd 文 件 ， 实 际 上 Puppet 读 取 的 就 
是 /etc/puppet/modules/httpd/init.pp 文 件 ，init.pp 文 件 会 根据 加 载 的 install.pp 类 和 server.pp 文 件 ， 在 Agent 机 器 上 安装 Apache， 安 装 后 启动 Apache 提 供 服务 。 


5.6 ”Puppet 多 环境 部 署 


伴随 “ 云 时 代 ” 和 “大 数据 时 代 ” 的 到 来 ， 运 维 工程 师 需要 管理 海量 的 服务 器 ， 每 天 对 这 些 服务 器 需要 频繁 操作 ， 推 送 配置 、 增 加 用 户 、 管 理 cron、 清 理 数 据 和 备份 /恢复 数据 。 通 常 一 个 运 维 工 程 师 要 
管理 上 百 甚至 上 干 台 服 务 器 ， 一 个 配置 推送 错误 会 导致 严重 的 后 果 ， 甚 至 会 导致 整个 服务 的 不 可 以 用 ， 所 以 对 于 这 些 日 常 操作 一 定 要 非常 谨慎 。 不 过 再 谨慎 也 会 有 出 错 的 情况 发 生 ， 为 了 尽量 避免 风 
偷 ，Puppet 为 我 们 提供 了 多 环境 部 署 ， 通 过 多 环境 部 署 就 可 以 实现 “ 灰 度 发 布 ” 的 功能 。 那 么 什么 是 灰 度 发 布 呢 ?Puppet 又 是 如 何 实现 灰 度 发 布 的 呢 ? 


在 日 常 运 维 发 布 方式 中 ， 有 一 种 发 布 叫 “ 灰 度 发 布 ”。 灰 度 发 布 是 指 在 黑 与 白 之 间 ， 能 够 平滑 过 渡 的 一 种 发 布 方式 。 如 AB test 就 是 一 种 灰 度 发 布 方 式 ， 让 一 部 分 用 户 继续 用 A， 一 部 分 用 户 开始 用 
如 果 用 户 对 B 没 有 什么 反对 意见 ， 那 么 逐步 扩大 范围 把 所 有 用 户 都 迁移 到 B 上 面 来 。 灰 度 发 布 可 以 保证 整体 系统 的 稳定 ， 在 初始 灰 度 的 时 候 就 可 以 发 现 、 调 整 问题 ， 以 保证 其 影响 度 。 


Puppet 提 供 一 种 功能 environments (中 文 译 为 环境 ) ， 通 过 puppet.conf 配 置 它 准许 将 Master 的 代码 配置 目录 进行 分 离 ，Agent 访 问 Master 通 过 参数 来 区 分 访问 不 同 的 目录 ，Puppet 将 这 种 方式 管 
理 称 为 环境 。 如 将 代码 目录 分 为 测试 环境 、 开 发 环境 、 线 上 环境 等 ， 通 过 调整 Agent 的 参数 访问 不 同 的 Master 环 境 ， 如 图 5-8 所 示 。 从 而 达到 灰 度 发 布 的 目的 。 笔 者 觉得 通过 Puppet 的 这 个 功能 来 管理 海量 
服务 器 的 配置 让 我 们 更 加 放心 ， 也 更 加 安全 。 下 面 来 看 一 下 如 何 创 建 环境 的 目录 、puppet.conf 环 境 配置 方法 和 Agent 使 用 环境 分 类 管理 实现 。 


1. 创 建 Puppet 环 境 目 录 


首次 配置 Puppet 环 境 目 录 ， 需 要 手工 创建 development (开发 环境 ) 目录 、testing (测试 环境 ) 目录 和 production ( 线 上 环境 ) 目录 ， 创 建成 功 后 接着 在 每 个 目录 中 再 次 创建 manifests 和 modules 
目录 。 此 时 可 以 打开 终端 键入 以 下 命令 : 


# mkdir -~p /etc/puppet/environments/{production, testing, development} 
# mkdir -~p /etc/puppet/environments/production/{manifests,modules} 

# mkdir -~p /etc/puppet/environments/testing/{manifests,modules} 

# mkdir -~p /etc/puppet/environments/development/ {manifests,modules} 


--elnlvironiment=de 


~”—--environment=testing- >( 


\ 


--environmend 


图 5-8 Puppet 的 环境 


2.puppet.conf 环 境 的 配置 


创建 好 目录 后 ， 通 过 向 Master 的 /etc/puppet/puppet.conf 文 件 追 加 development、testing 和 production 的 配置 参数 来 实现 分 类 管理 。 具 体 如 下 : 


[production] 
manifest = /etc/puppet/environments/production/manifests/site.pp 
modulepath = /etc/puppet/environments/production/modules 
[development] 
manifest = /etc/puppet/environments/development/manifests/site.pp 
modulepath = /etc/puppet/environments/development/modules 
[testing] 
manifest = /etc/puppet/environments/testing/manifests/site.pp 
modulepath = /etc/puppet/environments/testing/modules 


如 puppet.conf 配 置 文件 内 容 分 为 3 个 环境 ， 每 个 环境 有 自己 的 manifest 和 modulepath，manifest 定 义 了 不 同 环境 site.pp 文 件 的 位 置 ，modulepath 定 义 了 不 同 环境 基础 模块 的 路 径 ， 这 里 也 可 以 
“: ”作为 分 隔 来 追加 更 多 基础 模块 路 径 。 


@ 提 示 。 追 加 “环境 ”内 容 到 puppet.conf 配 置 文件 后 ， 需 要 重启 Master 的 守护 进程 ， 发 送信 号 SIGHUP 让 守护 进程 重启 ， 发 送 SIGINT 和 SIGTERM 信 号 关闭 Master 的 守护 进程 。 


3.Puppet 分 类 管理 实现 
Master 配 置 好 环境 分 类 管理 后 ，Agent 就 可 以 通过 参数 加 环境 名 的 方式 来 访问 统一 的 Master 的 不 同 环境 。 在 Agent 上 可 以 通过 以 下 命令 加 environment 人 参数 的 方式 实现 访问 不 同 的 环境 。 


连接 开发 环境 如 下 : 


# puppet --server PupPet.example.com --environment=development --test 


连接 测试 环境 如 下 : 


# puppet --server puppet.example.com --environment=testing --test 


连接 线 上 环境 如 下 : 


# puppet --server puppet .example.com --environment=production --test 


当 管 理 较 多 的 服务 器 的 配置 时 ， 推 荐 采用 开发 环境 一 测试 环境 一 线 上 环境 这 样 的 顺序 来 同步 配置 文件 ， 从 而 实现 线 上 系统 配置 文件 的 灰 度 功能 。 


第 6 章 ”Puppet 语 言 详解 
第 7 章 ”Puppet 资 源 详解 
第 8 章 ”Puppet ERB 模 板 详解 


第 09 章 ” 走 进 Facter 


第 6 章 ”Puppet 语 言 详解 


在 第 5 章 中 我 们 曾 介绍 通过 Puppet 构 建 主机 的 方法 ， 并 了 解 了 Agent 访 问 Master 的 整个 配置 过 程 。 同 时 学 习 了 manifests 和 modules 这 两 个 Puppet 的 重要 组 成 部 分 。 在 本 章 将 继续 深入 介绍 通过 
Puppet 来 构建 主机 ， 学 习 如 何 借助 Puppet 语 言 来 构建 主机 。 之 前 也 曾 提 到 ，Puppet 是 一 款 强大 的 配置 管理 工具 ， 之 所 以 说 它 强大 就 是 因为 它 在 延续 了 其 他 配置 管理 工具 的 基础 上 又 融入 了 编程 语言 的 概 
念 。 编 程 语言 为 后 续 的 差异 化 管理 配置 服务 器 黄 定 了 坚实 的 基础 。 同 时 Puppet 提 供 了 与 高 级 语言 近似 的 功能 ， 如 数据 类 型 、 作 用 域 、 变 量 、 类 、 继 承 、 命 名 空间 和 函数 等 ， 这 无 疑 让 我 们 通过 Puppet 来 构 
建 主机 变 得 更 加 灵活 方便 。 本 章 将 从 Puppet 的 变量 讲 起 ， 首 先 介绍 Puppet 编 程 语言 中 的 变量 、 变 量 作用 域 ， 接 着 介绍 数据 类 型 ， 然 后 介绍 条 件 语句 、Puppet 的 函数 、Puppet 的 关键 字 、Puppet 编 程 规 
范 ， 最 后 讲解 Puppet 文 件 的 导入 、 命 名 空间 与 自动 加 载 技术 。 


6.1 ”变量 和 变量 作用 域 


Puppet 语 言 支持 变量 ， 并 且 变量 拥有 自己 的 作用 域 。 在 Puppet 中 的 变量 使 用 比较 灵活 ， 我 们 即 可 以 自己 定义 变量 ， 也 可 以 使 用 Facter 工 具 收集 的 变量 ， 还 可 以 使 用 Puppet 自 带 的 变量 。 本 节 将 从 自 定 
义 变量 讲 起 ， 首 先 介 绍 在 Puppet 中 如 何 声明 变量 ， 以 及 声明 变量 过 程 中 的 注意 事项 。 接 着 介绍 变量 的 作用 域 和 作用 域 的 优先 级 别 ， 读 者 需要 重视 对 变量 优先 级 内 容 的 掌握 ， 避 免 后 续 编写 Puppet 代 码 由 于 
变量 优先 级 别 导 致 的 错误 。 然 后 再 介绍 Facter 工 具 收 集 的 变量 ， 通 常 这 些 变量 由 Facter 工 具 从 Agent 收 集 后 传 入 Master 中 使 用 ， 如 我 们 希望 对 来 自 agent1.example.com 的 Agent 进 行 个 性 化 配置 ， 就 可 以 
通过 Facter 变 量 来 实现 。 最 后 介绍 内 置 变量 ， 这 些 变量 由 puppet.conf 文 件 产生 ， 内 置 变量 大 多 包含 Master 的 一 些 配置 信息 。 


6.1.1 什么 是 变量 


什么 是 变量 ”顾名思义 ， 变 量 就 是 可 变 的 量 ， 在 Puppet 中 ， 其 由 字母 ([a~z][A~2]) 、 数 字 ([0~9]) 和 下 划 线 (_) 组 成 ， 且 大 小 写 敏感 。 在 Puppet 中 变量 必须 以 “$” 为 前 缀 后 接 “=” 进 行 赋值 , 
如 $test= “abc” 中 的 $test 就 是 一 个 变量 。 变 量 中 可 以 保存 字符 串 、 数 值 、 布 尔 值 、 数 组 、 哈 希 和 特殊 的 undef 值 。 在 大 多 数 的 编程 语言 中 ， 变 量 在 使 用 前 要 预先 声明 ， 其 中 C 语 言 要 求 更 加 的 苛刻 ; 变量 声 
明 必 须 位 于 代码 的 开始 部 分 ， 而 在 Puppet 中 无 需 提前 声明 ， 可 以 随时 随地 声明 与 使 用 。 


下 面 来 看 一 个 变量 使 用 的 例子 ， 这 个 例子 实现 的 功能 是 通过 Puppet 提 供 的 file 资 源 将 $content 变 量 内 容 写 入 /tmpytesting 文 件 中 。 编 辑 site.pp 文 件 并 追加 以 下 内 容 到 文件 中 ， 通 过 puppet apply 
site.pp 来 测试 它 的 结果 。 


$content = "some content" # 声明 变量 并 赋值 
file {'/tmp/testing': 

ensure => file, 

content => $content, 


} 


上 述 代 码 执行 过 程 : 首先 Puppet 分 析 文 件 site.pp 中 的 代码 是 否 有 语法 错误 ,然后 进行 编译 并 生成 Catalog， 最 后 应 用 编译 后 的 Catalog。 整 个 应 用 过 程 Puppet 会 调用 file 资 源 ， 在 系统 目录 中 创 
建 /tmp/testing 文 件 ， 并 将 $content 变 量 的 内 容 “some content” 追 加 到 testing 文 件 中 。 可 以 通过 cat 命 令 来 查看 /tmp/testing 文 件 的 内 容 ， 具 体内 容 如 下 : 


# cat /tmp/testing 
some content 


可 以 看 到 $content 变 量 的 值 已 经 追加 到 /tmp/testing 文 件 中 ， 这 就 是 Puppet 中 的 变量 应 用 场景 。 


另外 ， 还 支持 变量 之 间 的 赋值 ， 变 量 之 间 的 赋值 必须 使 用 双 引 号 ， 因 为 双 引 号 会 解析 变量 中 的 内 容 后 再 次 赋值 变量 。 切 记 ， 如 果 使 用 单 引号 则 无 法 解析 变量 的 值 。 下 边 来 介绍 的 3 个 典型 的 变量 赋值 的 案 


例 。 


案例 1 


变量 gqvariable 赋 值 给 $value 变 量 ， 被 赋值 的 gvariable 变 量 需 双 引 号 引起 来 。 


$variable = "1" 
$value = "$variable" # 将 变量 $variable 赋 值 给 变量 $value 必 须 使 用 双 引 号 


Puppet 和 很 多 编程 语言 一 样 ， 通 过 双 引 号 进行 解析 变量 中 的 值 后 再 次 赋值 。 如 果 使 用 单 引号 则 不 会 解析 变量 值 ， 直 接 将 变量 名 进行 赋值 。 以 下 为 两 种 赋值 方式 的 结果 : 


$value = "$variable" # 结果 为 1 
$value = '$variable' ## 结果 为 Svariable 


案例 2 


在 包含 字符 串 的 变量 赋值 变量 时 ， 推 荐 使 用 大 括号 “ff” ， 以 便 更 好 地 识别 变量 名 。 


Sone = "1" 
$value = "this is number:${one}" # 在 包含 字符 串 的 $value 变 量 中 使 用 $one 变 量 通常 书写 方式 为 ${one} 


案例 3 


需要 大 家 注意 的 是 ， 大 部 分 编程 语言 中 变量 是 可 以 重复 赋值 的 ， 即 变量 $content 可 先 赋 值 为 “some contents”， 然 后 再 次 赋值 为 “content”。 但 在 Puppet 中 的 变量 不 能 重复 赋值 。 来 看 一 个 代码 片 


$content = "some content" # 首次 赋值 Scontent 变 量 
file {'/tmp/testing': 

ensure => file, 

content => $content, 


} 
$content = "content" # 再 次 赋值 Scontents 变 量 


以 上 代码 片段 重复 赋值 的 执行 结果 会 导致 以 下 Puppet 的 一 个 错误 。 为 什么 会 这 样 呢 ? 


Err:Cannot reassign variable location at /etc/puppet/manifests/site.pp:2 


因为 Puppet 具 有 解释 性 语言 的 特性 和 动态 的 作用 域 ， 所 以 它 在 一 个 作用 域内 不 准许 变量 重复 赋值 。 那 什么 是 作用 域 呢 》 让 我 们 继续 看 下 一 小 节 。 


6.1.2 ”变量 作用 域 


在 Puppet 代 码 执行 过 程 中 ， 变 量 并 非 在 所 有 的 代码 范围 中 都 是 有 效 可 用 的 ， 而 限定 这 个 变量 使 用 有 效 范 围 的 就 是 作用 域 。 在 Puppet 中 每 创建 一 个 class 类 、 定 义 node 节 点 都 会 引入 一 个 新 的 作用 域 。 目 
前 Puppet 的 作用 域 被 划分 为 3 类 : top 作 用 域 、node 节 点 作用 域 和 local 作 用 域 。 下 面 我 们 通过 代码 片段 来 了 解 一 下 这 3 类 作用 域 的 使 用 方法 。 


1. 作 用 域 的 作用 范围 


Puppet 中 3 类 作用 域 作用 范围 的 示意 如 图 6-1 所 示 。 


: 同一 个 作用 域 中 不 可 以 声明 相同 的 变量 名 。 即 top 作 用 域 、node 节 点 作用 域 和 local 作 用 域 声明 的 变量 名 不 能 重复 。 


“top 作用 域 中 的 变量 只 在 top 作 用 域 中 有 效 。 


“ node 节 点 作用 域 中 的 变量 只 在 node 节 点 中 有 效 。 但 node 节 点 作用 域 还 可 以 访问 top 作 用 域 的 变量 。 


图 6-1 Puppet 作 用 域 


“ local 作 用 域 变量 只 在 local 作 用 域 中 有 效 。 但 local 作 用 域 可 以 访问 node 节 点 作用 域 和 top 作 用 域 中 的 变量 。 

“example::parent 类 、example::other 类 和 example::four 类 可 以 使 用 在 本 身 local 作 用 域 中 的 变量 、node 作 用 域 的 变量 和 top 作 用 域 的 变量 ,但 是 它们 之 间 的 变量 是 不 可 以 互相 访问 的 。 

“ example::child ( 子 类 ) 可 以 访问 example::parent ( 父 类 ) 作用 域 、node 节 点 作用 域 和 top 作 用 域 变 量 。 但 exmple::child ( 子 类 ) 不 能 访问 example::other 类 和 example::four 类 作用 域 的 变量 。 
下 面 就 来 通过 示例 介绍 Puppet 中 3 类 作用 域 的 作用 范围 及 其 变量 的 定义 方法 。 


(1) top 作 用 域 


声明 变量 后 可 以 在 class 类 内 和 node 节 点 内 调用 的 作用 域 被 称 为 top 作 用 域 (也 可 以 理解 它 为 全 局 作用 域 


因为 它 在 任何 node 节 点 和 class 类 中 都 可 以 使 用 ) 。 通 过 以 下 代码 片段 来 声明 top 作 用 域 的 变 


# site.pp 
Stop_variable = "top variable" 
class example { 
notify {"Message from elsewhere: $top variable":} 


通过 puppet apply site.pp， 执 行 结果 如 下 : 


# puppet apply site.pp 
notice: Message from elsewhere: top variable! 


通过 Puppet 输 出 的 结果 可 以 看 到 ， 代 码 中 $top_variable 变 量 声明 在 example 类 外 ， 但 是 在 example 类 内 通过 notify 资 源 仍然 可 以 调用 其 值 ， 这 就 是 top 作 用 域 变 量 。 
(2) node 作 用 域 


在 node 节 点 中 声明 变量 后 只 能 在 node 节 点 中 被 调用 ， 这 种 作用 域 称 为 node 作 用 域 ， 又 称 节点 作用 域 。 在 多 个 节点 中 声明 相同 的 变量 时 ， 同 一 时 间 只 能 有 一 个 node 节 点 变量 被 调用 。 通 过 以 下 代码 片 
段 来 声明 node 作 用 域 的 变量 。 


node 'puppet.example.com' { 

$node variable = "node variable" 

notify {"Message from node scope: $node variable":} 
} 


当 Agent 的 Hostname 通 过 puppet.example.com 来 访问 Master 时 ，Agent 的 执行 结果 如 下 : 


notice: Message from here: node variable! 


通过 输出 结果 可 以 看 到 ， 我 们 声明 的 $node_variable 变 量 的 值 为 “node_variable!”， 表 示 声 明了 node 作 用 域 的 变量 。 


(3) local 作 用 域 


变量 声明 后 只 能 在 class 类 内 使 用 ， 这 种 作用 域 称 为 local 作 用 域 或 本 地 作用 域 。 通 过 以 下 代码 片段 来 声明 local 作 用 域 的 变量 。 


# site.pp 
class scope example { 
$local variable = "local variable" 
notify {"Message from here: $local variable":} 


} 


执行 puppet apply site.pp， 执 行 结果 如 下 : 


# puppet apply site.pp 
notice: Message from here: local variable! 


通过 输出 结果 可 以 看 到 ， 我 们 声明 的 $node_variable 变 量 的 值 为 “local_variable!” ， 表 示 它 为 local 作 


2. 作 用 域 的 优先 级 


变量 的 作用 域 与 作用 域 之 间 是 有 优先 级 的 ， 当 相同 的 变量 名 出 现在 同一 代码 文件 中 时 ， 它 的 优先 级 应 该 是 local 作 用 域 最 高 ，node 作 用 域 次 之 ，top 作 


域 之 间 的 优先 级 顺序 (其 中 “#” 表 示 文 件 注释 ) 。 


域 的 变量 。 


域 级 别 最 低 。 通 过 以 下 代码 片段 来 看 作用 域 与 作 


# site.pp 
$variable = "top scope" # top 作 用 域 
node 'puppet .example.com' { 
$variable = "node scope" # node 作 用 域 
class scope example { 
$variable = "local scope" # local 作 用 域 
notify {"Message from here: $variable":} 


} 


当 $variable 变 量 在 local 作 用 域 、node 作 用 域 和 top 作 用 域 同时 出 现时 ，$local 作 


域 会 覆盖 以 上 两 个 gvariable 的 变量 。 执 行 puppet apply site.pp， 执 行 结果 如 下 : 


notice: Message from here: local scope 


执行 代码 片段 后 输出 结果 为 “local scope” ， 证 明了 当 3 种 作用 域 同时 出 现时 ，local 作 


node 作 用 域 的 变量 就 会 覆盖 top 作 用 域 变量 中 的 值 。 此 例子 也 同时 解答 了 6.1.1 节 最 后 的 问题 ， 


6.1.3 ”Facter 变 量 


Facter 是 一 款 扩展 性 强 且 功能 强大 的 跨 平台 的 系统 性 能 分 析 收集 工具 ， 它 可 以 收集 Agent 的 信息 ， 并 将 


域 的 优先 级 别 最 高 。 如 果 这 个 例子 中 没有 local 作 用 域 的 变量 ， 
声明 变量 时 如 果 不 更 改变 量 名 ， 需 要 通过 作用 域 将 它们 分 开 ， 


收集 到 的 Agent 信 息 作为 变量 传 给 Master 使 


只 有 node 作 用 域 与 top 作 用 域 的 变量 ， 那 么 
才能 避免 Puppet 的 报错 。 


。 在 Puppet 中 这 些 变量 均 为 top 作 用 域 变量 ， 可 以 


后 续 章 节 中 会 


到 Facter 变 量 ， 所 以 这 里 介绍 一 些 Facter 的 常 上 


变量 ， 如 表 6-1 所 示 。Facter 工 具有 很 强 的 扩 


在 Puppet 语 言 中 的 任何 位 置 调用 到 它们 。 通 过 系统 终端 输入 facter 命 令 看 到 这 些 变 量 。 由 于 


Facter 工 具 更 多 的 信息 会 在 第 9 章 中 详细 介绍 。 


能 ， 并 支持 通过 ymal 格 式 来 导入 更 多 变量 。 本 章 只 介绍 了 它 的 冰山 的 一 角 ， 关 了 


表 6-1 


Puppet 常 有 


系统 变量 


展 功 


ipaddress 


kernel 


IceIUOIY > 1Ze 


operatingsystem 


rubyversion 


uptime 


hostname 


以 下 为 调 


# notif: 


Facter 变 量 的 代码 片段 (这 里 以 调 


ify.pp 
notify{"$ipaddress":} 


执行 puppet apply notify.pp， 执 行 结果 如 下 : 


notice: 192.168.7.77 


本 机 IP 地 址 为 例 ) : 


# 其 中 "192.168.7.77" 为 $ipa 2 Se 


I 旦 
三 三 


本 


IP 地 址 


内 核 版 本 


开机 时 间 


notice: Were 和 en A ti Ey De Ee Issoge d 'message' as '192.168.7.77' 
tice: 


可 以 看 到 $ipaddress 变 量 中 存放 的 为 本 机 的 IP， 它 由 Facter 收 集 并 传 给 Puppet 中 作为 变量 使 用 。 


6.1.4 内 置 变量 


含义 


Hostname 


Puppet 还 为 我 们 提供 了 一 些 内 置 变 量 ， 由 puppet.conf 配 置 文件 定义 ， 并 在 Puppet 代 码 文件 中 可 以 直接 使 用 的 变量 称 为 内 置 变量 。 通 常 内 置 变 量 
量 分 为 Agent 端 的 内 置 变 量 和 Master 端 的 内 置 变 量 两 种 。 


Agent 端 内 置 变量 如 下 。 


果 作 系统 发 行 版 本 


Ruby 版 本 


“ $enviromnent: 在 第 5 章 中 我 们 曾 介绍 了 Puppet 的 环境 。 通 过 genviroment 可 以 查 到 相关 的 环境 信息 


“$clientcert: Agent 的 certname 信 息 。 


Master 端 内 置 变量 如 下 。 


: $module_1 


“ $servername: Master 的 fqdn。 
“ $serverip: Master 的 IP。 


name: Mastet 中 的 模块 名 。 


6.2 ”数据 类 型 


数据 可 以 按照 数据 结构 的 大 小 进行 分 类 ， 并 将 分 类 后 的 结果 存放 到 内 存 中 ， 我 们 将 数据 进行 分 类 


后 的 结果 称 为 数据 类 型 ， 数 字 和 字符 串 


都 是 常 


常 与 Puppet 语 言 的 分 支 语句 结合 使 用 。 


的 类 型 之 一 。 目 前 Puppet 数 


居 类 型 支持 字符 串 


值 类 型 、 数 组 、 哈 希 、 布 尔 值 、undef 和 正则 表达 式 ， 如 图 6-2 所 示 。 下 面 以 代码 片段 的 方式 来 介绍 一 下 Puppet 的 数据 类 型 和 注意 事项 。 


数组 (array ) 
哈 希 (hash) 
正则 表达 式 ( 非 标准 类 型 】 | 


图 6-2 ”Puppet 数 据 类 型 


6.2.1 字符 串 类 型 
定义 字符 串 类 型 需要 以 双 引号 (“”) 或 单 引号 ( ” ) 进行 声明 ， 在 Puppet 中 默认 的 数据 类 型 就 是 字符 串 类 型 。 字 符 串 类 型 声明 时 需要 注意 以 下 3 点 。 


' 不 能 使 用 Puppet 关 键 字 〈 


[A~Z 


见 6.5 节 ) 。 


) 


以 下 两 行 通过 都 是 通过 双 引 号 或 和 


引号 声明 有 效 的 Puppet 字 符 串 类 型 。 


、 数 字 〈[0~9]) 、 连 接 符 (-) 和 下 划 线 (_) 组 成 。 


使 用 UTF-8 的 字符 集 ， 这 也 是 为 后 续 与 Puppetdb 结 合 做 准备 。 


$variablel = 'hello world' 
$variable2 = "hello world" 
在 Puppet 中 通过 单 引号 声明 的 字符 串 中 ， 如 果 遇 见 尾部 有 “\” 的 情况 ， 则 需要 通过 八 ” 进 行 转 义 。 
path => 'C:\Program Files (x86)\\' 
当 我 们 使 用 一 些 特殊 的 符号 作为 变量 值 时 ， 需 要 将 它们 转 义 后 再 使 用 。 字 符 串 转 义 序列 如 表 6-2 所 示 。 
表 6-2 转 义 序列 
转 义 序列 舍 义 
和 A | 


6.2.2 ”数值 类 型 


在 Puppet 语 言 中 支持 数值 类 型 ， 数 值 类 型 是 指定 义 成 的 数值 形式 的 数据 ， 这 种 数 


回 车 换行 


tab 


的 数值 类 型 支持 整数 类 型 的 运算 也 支持 浮 点 类 型 的 运 


。 下 面 就 来 详细 介绍 


H 


整数 类 型 的 计算 方式 : 
Sproduct = 8 * 4 
$product = 7 + 5 


浮 点 型 的 计算 方式 : 


S$product = 8 * 0.12 


读者 需要 注意 数值 类 型 的 书写 格式 。 以 下 是 错误 的 语法 格式 : 


Sproduct = 8 * +4 
S$product = 8 * .12 


# 错误 的 语法 格式 
# 错误 的 语法 格式 


ET a E a A 直上 
汗 ， 一 个 tab 玲 献 人 是 dl We ey 


居 可 以 直接 进行 加 、 减 、 乘 、 除 等 数学 运算 。 在 Puppet 中 数值 类 型 包括 整数 类 型 与 浮 点 类 型 ， 与 此 相对 应 ，Puppet 中 


一 下 . 


以 上 错误 中 包含 : 


“ 符号 不 要 同时 使 用 。 


“ 浮 点 型 数据 以 数字 加 小 数 点 形式 表述 ， 正 确 的 方式 如 0.12。 


等 。 不 同 的 运算 符 之 间 是 有 优先 级 的 。 把 Puppet 中 的 运算 符 按照 优先 级 按 从 高 到 低 的 顺序 进行 排列 ， 得 到 如 表 6-3 所 示 的 结果 。 


说 明 


运 算 符 

| 取 反 

In 汇 围 

+ 和/ 乘 和 除 

-和 和 十 研 和 加 

<< 和 >> 左 移 和 右 黎 
-二 和 != 等 于 和 不 同 于 
>= <= 和 >< | 大 于 等 于 、 


6.2.3 数组 


在 Puppet 语 言 中 的 支持 数组 类 型 。 所 谓 数组 就 是 将 同一 类 寻 


物 按照 一 定 的 顺序 放 到 一 个 集合 中 ， 通 过 定义 这 个 集合 来 完成 对 数组 中 所 有 奸 


小 于 等 于 和 大 于 、 小 于 


物 的 定义 。Puppet 中 的 数组 通过 方 括号 来 定义 ， 数 组 中 的 数 


据 通过 “” 分 隔 。 灵 活 应 用 数组 类 型 进行 变量 的 定义 ， 可 以 缩短 和 简化 程序 ， 提 高 代码 的 可 读 性 。 下 面 就 来 介绍 数组 的 定义 、 取 值 和 追加 数组 。 
1 数组 定义 
Puppet 通 过 [" 数 组 内 容 1"," 数 组 内 容 2"] 的 形式 来 定义 数组 ， 并 将 定义 后 的 数组 赋值 给 变量 。 下 面 以 安装 Ruby 的 相关 环境 为 例 ， 介 绍 定义 Puppet 数 组 。 首 先 将 Ruby 环 境 的 软件 包 以 “,” 形 式 进 行 分 隔 ， 


后 将 声明 的 数组 赋值 给 $packages 变 量 ,， 最 


后 调 


$packages = [ "rubyl.8-dev", # S$package 数 组 中 声明 了 要 安装 的 软件 包 
"ruby1.8"， 

Weil .gS", 

Vedool 0" 

"irbl.8", 

"libreadline-rubyl.8", 

"librubyl.8", 

"libopenssl-ruby" ] 


package { "$packages": ensure => installed }  # 通过 package 资 源 来 依次 安装 Spackage 数 组 中 内 容 


系统 package 资 源 对 $package 数 组 变量 中 定义 序列 进行 依次 加 载 并 安装 。 以 下 为 代码 片段 : 


Puppet 通 过 系统 package 资 源 对 $package 数 组 的 内 容 依次 进行 下 载 和 安装 ， 这 也 是 数组 常见 的 应 用 场景 。 
2 数组 的 取 值 
再 来 看 一 下 数组 如 何 取 值 。 可 以 将 数组 赋值 给 变量 ， 并 通过 [数组 下 标 ] 的 方式 进行 取 值 。Puppet 数 组 和 其 他 编程 语言 中 的 数组 一 样 ， 下 标 从 0 开始 。 下 面 来 看 一 个 例子 。 


首先 定义 数组 ， 并 将 定义 好 的 数组 值 赋值 给 $foo 变 量 ， 调 | 


notice 函 数 打印 数组 中 的 内 容 。 编 辑 arra 


"two'，'three' 


) # 数据 下 标 以 0 开 


$foo = [ 'one' 
notice( $foo[1] 


台 , 通过 notice 函 数 打印 $foo 数 组 two 值 ,对 应 值 为 下 标 1 


通过 puppet apply apply.pp 来 查看 结果 。 


y.pp， 具 体内 容 如 下 : 


puppet apply array.pp 
notice: Scope (Class [main]) : two # 打印 two 数 组 值 
notice: Finished catalog run in 0.01 seconds 


notice 会 将 结果 输出 到 屏幕 ， 它 会 取 $foo 数 组 中 的 第 二 个 值 ， 输 出 结果 为 two。 


3 .数组 追加 


当 我 们 定义 数组 后 ， 仍 然 可 以 通过 “+ =” 符 号 向 数组 中 追加 新 值 。 如 以 下 例子 ， 在 不 同 的 类 中 需要 增加 本 身 类 的 属性 时 可 以 通过 “+ =” 符 号 来 追加 。 


$package = ['base' ，'php'] 
class nginx { 
Spackages += ['nginx'] # 追加 后 , $packages 数 组 中 包含 了 ['base'，'php', 'nginx'] 


class apache { 
Spackages += ['apache'] # 追加 后 , $packages 数 组 中 包含 了 ['base'，'php', 'apache'] 
} 


需要 注意 的 是 通过 “+ =” 符 号 在 追加 过 程 中 数据 类 型 要 一 致 ， 如 将 字符 串 型 赋值 给 数组 ， 这 是 错误 的 使 用 方法 。“+ =” 除 了 可 以 追加 数组 外 ， 还 可 以 在 字符 串 和 哈 希 类 型 中 使 用 。 


4. 谋 套数 组 


Puppet 通 过 嵌 套 数组 来 模拟 多 维 数组 ， 并 通过 索引 的 方式 访问 嵌 套 数组 的 值 。 编 辑 array.pp， 具 体内 容 如 下 : 


$ftoo = [ 'one', {'second' => 'two', 'third' => 'three'} ] 
notice( $foo[1l]['third'] ) 


以 上 代码 为 打 ED$foo 嵌 套数 组 的 third 键 对 应 的 值 。 通 过 puppet apply apply.pp 来 查看 结果 。 


# puppet apply array.pp 
notice: Scope (Class [main]) : three # 打印 three 数 组 值 
notice: Finished catalog run in 0.01 seconds 


6.2.4 ” 哈 希 类 型 


Puppet 语 言 支持 hash (中 文 译 为 哈 希 ， 下 称 哈 希 值 ) 类 型 。 哈 希 值 是 近来 非常 流行 的 数据 类 型 ， 它 与 数组 类 似 ， 都 是 带 索 引 的 对 象 集合 ， 与 数组 的 区 别 在 于 作为 索引 不 仅 限于 数字 ， 可 以 是 任何 对 
象 。 目 前 比较 有 代表 性 的 软件 有 Memcached、Berkeley DB 和 Redis， 它 们 均 采 用 了 哈 希 值 的 数据 类 型 存储 方式 。 同 样 Puppet 中 的 哈 希 也 使 用 “ 键 / 值 ”为 格式 组 成 的 键 值 对 。 在 Puppet 中 哈 希 类 型 
的 “ 键 ”必须 是 字符 串 类 型 ， 但 其 “ 值 ”可 以 是 任意 的 类 型 。 下 面 来 看 一 下 哈 希 的 格式 和 取 值 方法 。 


定义 哈 希 的 类 型 键 为 key1， 值 为 val1， 如 果 设置 多 个 “ 键 / 值 ”需要 用 逗号 分 隔 。 实 现 的 代码 如 下 : 


{ keyl => 'vall', key2 => 'val2',..} 


定义 变量 并 将 定义 好 的 哈 希 列表 赋值 给 gmyhash 变 量 ， 调 用 系统 notice 函 数 输出 gmyhash 变 量 中 键 对 应 的 值 。 实 现代 码 如 下 : 


$myhash = { key => "some value", 
other key => "some other value" } 


notice( $myhash[key] ) 
以 上 输出 结果 为 key 对 应 的 值 some value。 


6.2.5 布尔 类 型 


Puppet 语 言 支持 Booleans (中 文 翻译 “布尔 ”类 型 ， 下 称 布尔 型 ) ， 布 尔 型 经 常用 于 函数 的 返回 状态 ， 布 尔 型 只 有 两 个 值 true ( 真 ) 或 false ( 假 ) 。 在 通过 布尔 型 赋值 变量 时 ， 需 要 注意 不 要 加 双 引 
号 (“”) 或 单 引号 ( ” ) 符号 ， 示 例如 下 。 


$switch = true # 正确 的 赋值 方法 
$switch = false # 正确 的 赋值 方法 
$switch = 'true' ”# 错误 的 赋值 方法 


$switch = "false"  # 错误 的 赋值 方法 


如 以 下 代码 片段 中 的 str2bool 函 数 的 返回 值 就 是 布尔 型 ， 通 过 str2bool 函 数 判断 期 返回 值 ， 如 果 是 true 则 加 载 ntp::disabled 类 文件 。 


if str2bool ($is virtual) { # 判断 如 果 $is_virtaul 返 回 值 为 true 则 加 载 htp: :disabled 类 
include ntp::disabled 
} 


需要 注意 ，str2bool 函 数 需要 安装 puppetlabs-stdlib 模 块 。 在 Puppet 的 puppetlabs-stdlib 模 块 中 提供 了 两 个 函数 str2bool 和 num2boole。 其 中 str2bool 可 以 将 字符 串 转换 为 布尔 型 ，num2boole 可 以 
将 数值 型 转 为 布尔 型 ， 两 个 函数 的 功能 类 似 于 很 多 编程 语言 中 的 强制 类 型 转换 。 


外 注意 在 使 用 str2bool 和 num2boole 这 两 个 函数 时 需要 提前 puppet module install puppetlabs-stdlib 安 装 这 个 模块 所 在 的 库 文件 才 可 以 使 用 。 


6.2.6 ”正则 表达 式 


Puppet 语 言 支持 Regular Expression (中 文 译 为 “正则 表达 式 ”， 下 称 正 则 表达 式 ) 。 在 处 理 字符 串 时 经 常 有 查找 或 替换 某 些 字符 串 的 需求 ， 正 则 表达 式 就 是 用 于 描述 这 些 规矩 的 工具 。 在 Puppet 中 
支持 标准 Ruby 正 则 表达 式 。 但 是 读者 需要 注意 正则 表达 式 并 非 Puppet 标 准 的 数据 类 型 ， 它 不 能 被 赋值 ， 也 不 能 用 于 函数 之 间 的 传递 。 来 看 一 下 常用 的 正则 表达 式 标记 号 和 使 用 案例 。 


正则 表达 式 常 见 的 标记 号 如 下 。 
. 0: 用 于 描述 范围 (如 世相 ， 表 示范 围 az 之 间 ) 。 
. 0: 用 于 包含 正则 表达 式 。 


“ \w; 用 于 描述 字母 或 数字 ， 相 当 于 [0-9a-zA-Z]。 


“ \W: 非 字母 或 数字 。 


泵 


s: 匹配 Nt\n\t\f， 其 中 (\t) 为 制 表 符 、〈\r) 为 回 车 符 、(\n) 为 换行 符 、(\f) 为 换 页 符 ，\s 表 示 匹 配 这 些 符号 的 简写 方式 。 
“\S: 匹配 非 空 字符 。 

“\d: 匹配 [0-9] 数 字 。 

" \D: 匹配 非 数字 。 

“ \b: 匹配 退 格 符 。 

“ NB: 非 字 边 界 。 

“*; 前 面 元 素 出 现 0 次 或 多 次 。 

: +: 前 面 元 素 出 现 1 次 或 多 次 。 

{fm，n}: 前 面 元 素 最 少 出 现 m 次 ， 最 多 出 现 n 次 。 
“了 : 前 面 元 素 最 多 出 现 1 次 ， 等 价 于 {0,1}。 

“ |: 与 前 面 或 后 面 表达 式 匹 配 。 


以 上 为 Puppet 的 标记 号 ， 通 过 以 下 代码 片段 来 看 一 下 正则 表达 式 的 使 用 方法 。 


$packages = S$operatingsystem ? { 
/(?i-mx:ubuntuldebian) / => 'apache2', 
/ (?i-mx:centos|fedora|redhat)/ => 'httpd', 

} 


代码 片段 表示 判断 $operatingsystem 操 作 系 统 发 行 版 本 ， 如 果 是 ubuntu 或 debian 系 统 发 行 版 本 则 安装 apache2 包 ， 如 果 是 centos、fedora 或 redhat 系 统 发 行 版 本 则 安装 httpd 包 。 其 中 i、m、- 和 x 为 


Puppet 特 有 。 具 体内 容 如 下 : 
“i 表示 名 略 大 小 写 。 
“ m 表 示 把 “.” 当 做 换行 符 使 用 。 
-表示 不 使 用 菜 转移 符号 。 


. 义 表示 忽略 模式 中 的 空白 字符 和 注释 。 


下 面 来 看 两 个 案例 ， 第 一 个 案例 是 根据 UNIX/Linux 系 统 匹 配 不 同系 统 的 发 行 版 本 ， 并 根据 发 行 版 本 设置 /etc/passwd 文 件 组 权限 ;第 二 个 案例 是 通过 正则 表达 式 来 进行 IP 蔡 换 ， 将 本 机 IP 蔡 换 为 C 段 的 


案例 1 


通过 识别 不 同 的 UNIX/Linux 系 统 发 行 版 本 ， 将 /etc/passwd 文 件 设置 为 不 用 的 组 用 户 。 这 里 用 selector 表 达 式 来 判断 $operatingsystem 系 统 变 量 的 值 是 什么 发 行 版 本 ， 如 果 是 darwin 或 FreeBSD 系 统 就 
将 users 赋 值 给 $rootgroup 变 量 。 这 里 用 到 了 正则 表达 式 的 (Darwin|FreeBSD) 功 能 ， 假 设 系统 发 行 版 本 是 FreeBSD 就 会 被 它 匹配 到 ， 最 终 file 资 源 会 将 /etc/passwd 文 件 组 权限 设置 为 users 值 。 以 下 为 代码 


片段 : 


$rootgroup = $operatingsystem ? { 
/ (Darwin|FreeBSD)/ => "users'， # 通过 正则 表达 式 方式 判断 操作 系统 发 行 版 本 是 Darwin 或 FreeBSD 
default => 'root', 
} 
file { '/etc/passwd': 
ensure => file, 
owner => 'root', 
group => $rootgroup, 


案例 2 


我 们 希望 通过 Puppet 语 言 将 本 机 的 IP 替 换 成 一 个 C 段 的 P， 并 将 蔡 换 后 的 C 段 IP 与 本 机 IP 一 并 输出 。 这 里 就 需要 通过 正则 表达 式 来 替换 IP 末 位 ， 将 末 位 转 为 0。 编 辑 conv_ip.pp， 将 以 下 代码 追加 到 文件 


$class c = regsubst ($ipaddress, "(.*)\http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/..*", "\1.0") 
notify { $ipaddress: } 
notify { $class c: } 


其 中 $ipaddress 变 量 由 Facter 收 集 ， 可 以 在 Puppet 代 码 中 直接 使 用 ，$ipaddress 的 值 为 本 机 系统 的 |P。regsubst 为 系统 的 蔡 换 函数 ， 它 需要 以 “” 作为 分 隔 输 入 3 个 参数 值 ， 分 别 是 源 字 符 串 、 


匹配 模 


式 (pattern) 和 蔡 换 结果 。 通 过 regsubst 函 数 将 蔡 换 后 的 结果 传 给 $class_c 变 量 ， 并 通过 notify 资 源 打印 出 源 I|P 和 蔡 换 后 的 IP。 通 过 puppet apply conv_ip.pp 看 一 下 结果 。 


notice: 10.168.7.14 # $ipaddress 值 
notice: /Stage [main]//Notify[10.168.7.14] /message: defined 'message' as '10.168.7.14' 
notice: 10.168.7.0 # 经 过 regsubst 函 数 普 换 后 的 Sclass_c 值 


notice: /Stage [main]//Notify[10.168.7.0]/message: defined 'message' as '10.168.7.0' 
notice: Finished catalog run in 0.04 seconds 


可 以 看 到 本 机 的 源 IP 为 10.168.7.14， 蔡 换 后 的 IP 为 10.168.7.0。 我 们 指定 了 “(*)\http://www.hzcourse.com/resource/readBook? 


path=/openresources/teach_ebook/uncompressed/15031/OEBPS/Text/..*” 作为 匹配 模式 ， ^1.0” 作 为 替换 结果 ， 匹 配 模式 将 匹配 整个 IP 地 址 ， 捕 获 的 前 3 个 字 节 放 在 一 对 圆 括号 内 ， 被 捕获 的 文本 


可 以 在 蔡 换 结果 中 使 用 ^\1” 来 引用 。 被 匹配 的 全 部 文本 IP 为 10.168.7.14 将 使 用 蔡 换 结果 (replacement) 来 替换 ， 这 里 是 \1” (从 源 字符 串 中 捕获 的 文本 ) 跟 上 字符 串 “.0”， 最 终 获 得 C 段 
IP:10.168.7.0。notify 资 源 将 替换 前 后 结果 输出 到 屏幕 上 。 


6.2.7 undef 


法 : 


undef 值 在 Puppet 是 一 个 特殊 的 值 ， 它 等 同 于 Ruby 语 言 中 的 nil。 没 有 声明 过 但 是 仍然 可 以 使 用 的 值 就 属于 undef 值 。 以 下 为 undef 的 通常 


$apache = $operatingsystem ? { 


centos =>!'httpd', 
redhat =>'httpd', 
/(2?i) (ubuntuldebian)/ =>'apache2', 
default => undef， ”# 如 果 没有 匹配 到 任何 操作 系统 发 行 版 本 , 则 默认 设置 为 undef 值 


} 


通过 $operatingsystem 来 判断 系统 的 发 行 版 本 ， 如 果 匹 配 不 到 selector 语 句 中 的 操作 系统 发 行 版 本 ， 就 可 以 将 undef 值 赋值 给 $apache 变 量 。 


6.3 ”条 件 判 断 语句 


条 件 判断 语句 是 编写 复杂 程序 的 基础 ， 目 前 Puppet 2.7 以 上 版 本 支持 if...elsif...else、selecter 和 case 等 条 件 语句 。 它 们 的 条 件 判断 分 为 两 类 : 一 类 为 条 件 执行 (if...elsif...else、selecter) 通过 逻辑 判断 
来 选择 要 执行 的 特定 代码 或 加 载 代码 ; 另 一 类 (case) 是 循环 执行 类 ， 依 照 代 码 规则 来 执行 特定 代码 或 加 载 代 码 。 下 面 来 分 别 介绍 一 下 这 两 类 条 件 语句 的 基本 语法 与 案例 。 


6.3.1 if..elsif...else 条 件 语句 


首先 来 了 解 一 下 if...elsif...else 条 件 语句 的 基本 语法 。 


if conditionl { 
blockl of code 

} 

elsif condition2 { 
block2 of code 

} 

else { 
block3 of code 

} 


以 上 为 if...elsif...else 条 件 判断 语句 的 语法 和 大 致 判断 流程 。 它 首先 判断 条 件 表达 式 condition1 是 否 为 true， 如 果 为 true 则 执行 block1 语 句 ; 如 果 不 为 true 则 继续 判断 第 二 个 条 件 表达 式 condition2 是 否 
为 true， 如 果 为 true 则 执行 block2 语 句 ; 如 果 仍 然 不 为 true 则 执行 block3 语 句 。 在 Puppet 中 if...elsif.…else 条 件 判断 语句 较为 常见 ， 如 判断 操作 系统 的 发 行 版 本 ， 并 根据 不 同 的 版 本 加 载 不 同 的 配置 文件 ; 或 
者 通过 if...elsif…else 判 断 条 件 的 范围 等 。 下 面 来 介绍 3 种 if...elsif.….else 条 件 判断 语句 。 和 很 多 的 编程 语言 不 同 之 处 ，Puppet 除 了 支持 常见 的 判断 外 ，if...elsif.….else 还 支持 通过 正则 表达 式 或 in 取 范 围 方式 来 
判断 返回 值 。 


案例 1 


以 下 是 条 件 判断 语句 if...elsif.…else 的 使 用 案例 。 判 断 系 统 发 行 版 本 ， 根 据 系统 发 行 版 本 加 载 不 同 的 基础 模块 文件 。 


if $operatingsystem == Ubuntu' 
{ include httpd } 

elsif $operatingsystem == ' RedHat' 
{ include memcache } 

else 


{ include ntp } 


首先 判断 系统 goperatingsystem 变 量 是 否 等 于 Ubuntu， 如 果 是 则 加 载 httpd 类 文件 ;否则 判断 系统 $operatingsystem 变 量 是 否 等 于 RedHat， 如 果 是 则 加 载 memcache 类 文件 ;如 果 还 不 匹配 的 话 最 
后 调用 加 载 ntp 类 文件 ， 整 个 判断 结束 。 以 操作 系统 发 行 版 本 为 Ubuntu 为 例 ， 条 件 判 断 语 句 会 加 载 httpd 类 ， 并 结束 整个 条 件 的 判断 。 


案例 2 


通过 if.….elsif.…else 与 正则 表达 式 的 结合 来 判断 条 件 的 范围 。 以 $hostname 变 量 为 例 ， 它 是 Agent 机 器 的 Hostname， 判 断 它 的 范围 是 否 以 www 开 始 ， 并 且 后 接 数字 。 如 果 判 断 为 真 则 显示 欢迎 信息 。 代 
码 片段 如 下 : 


if $hostname =~ /^wwwNd+/ { 
notice ("Welcome to web server number: $hostname") 


i 


以 Agent 的 Hostname 为 vww27.exaple.com 为 例 ， 最 终 输 出 结果 为 Welcome to web server number: www27.exaple.com。 


案例 3 


以 下 通过 in 取 范围 方式 选择 最 终结 果 。 


if S$operatingsystem in ["SUSE","Redhat"] { 
notice("the system is :$hostname") 


} 


通过 in 在 数组 范围 中 匹配 最 终结 果 ， 如 果 匹 配 到 则 打印 提示 语 为 the system is SUSE。 


6.3.2 case 语句 


Puppet 语 言 中 的 case 语 句 和 if...elsif...else 完 成 的 结果 一 样 ， 但 是 在 多 重 条 件 判断 语句 时 使 用 case 语 句 代码 要 比 if...elsif..…else 代 码 更 加 整洁 些 。 下 面 来 看 一 下 case 语 句 的 使 用 方法 。 


通过 case 语 句 来 判断 操作 系统 的 发 行 版 本 ， 并 加 载 不 同 的 类 文件 。 代 码 片 段 如 下 : 


Case $operatingsystem { 


"Solaris': { include role::solaris } 
'RedHat', '‘'CentOS': { include role::redhat } 

/“^ (Debian|lUbuntu)$/: { include role::debian } 
default: { include role::generic } 


b 


首先 判断 系统 $operatingsystem 变 量 的 值 ， 如 果 值 是 Solaris 则 加 载 role::solaris 类 ; 如 果 值 是 RedHat 或 CentOS 则 加 载 role::solaris 类 ; 如 果 值 是 Debian 或 Ubuntu 则 加 载 role::debian 类 ; 如 果 都 没有 
匹配 到 ， 则 最 终 加 载 role::generic 类 。 假 设 我 们 的 操作 系统 是 RedHat，case 语 句 会 匹配 到 此 操作 系统 发 行 版 本 ， 并 加 载 role::redhat 类 文件 ， 整 个 case 语 句 流程 结束 。 


6.3.3 ”selector 语 句 


在 很 多 编程 语言 中 我 们 经 常 可 以 看 到 selector 表 达 式 的 身影 。 


代码 片段 如 下 : 


中 一 个 赋值 。 下 面 是 Puppet 语 言 中 的 selector 表 达 式 的 使 用 方法 ， 


它 和 C 语 言 或 Ruby 语 言 中 的 三 元 操作 类 似 


， 意 思 是 在 两 个 选项 中 任 选 


$rootgroup = $operatingsystem ? { 
"Solaris' => 'wheel', 
/ (Darwin|FreeBSD)/ => 'users', 
default => 'root', 


} 
file { '/etc/passwd': 
ensure => file, 
owner => 'root', 
group => $rootgroup, 


首先 根据 $operatingsystem 变 量 判断 系统 的 发 行 版 本 ， 并 根据 发 行 版 本 自动 匹配 /etc/passwd 不 同 的 组 用 户 权限 。 接 着 声明 $rootgroup 变 量 ， 通 过 selector 表 达 式 判断 系统 $operatingsystem 变 量 中 
的 操作 系统 发 行 版 本 是 否 与 哈 希 表 中 某 key 匹 配 。 如 果 匹 配 则 将 相应 操作 系统 版 本 为 key 中 的 值 传 给 $rootgroup 变 量 ， 最 后 通过 系统 file 资 源 重新 设置 /etc/passwd 的 文件 组 权限 为 $rootgroupt 变 量 值 。 


假设 我 们 的 操作 系统 发 行 版 本 是 SUSE， 哈 希 表 中 并 没有 SUSE 发 行 版 本 ，selector 会 默认 


与 group 设 置 为 root， 整 个 selector 语 句 结束 。 


6.4 Puppet 函 数 介绍 


函数 的 主 


匹配 root 值 ， 并 将 值 赋 值 给 $rootgroup 变 量 。 最 后 file 资 源 根 据 $rootgroup 变 量 将 /etc/passwd 文 件 的 owner 


途 是 完成 一 个 功能 的 集合 。 截 至 本 书 出 版 前 ，Puppet 共 提供 了 43 个 函数 ， 通 过 这 些 函 数 为 系统 管理 员 配置 管理 系统 节约 了 很 多 时 间 和 精力 。 但 想 通过 这 43 个 函数 来 解决 运 维 中 面临 的 所 


有 的 问题 是 不 可 能 的 ， 即 98 法 则 中 所 说 ， 它 只 能 解决 98% 用 户 的 需求 ， 但 还 有 2% 的 用 户 需求 是 无 法 满足 的 ， 而 这 29% 用 户 很 有 可 能 是 一 些 高 端的 用 户 。 这 时 我 们 就 可 以 通过 以 下 两 种 方式 来 解决 。 


方式 一 : 通过 官方 网 站 获取 已 经 扩展 好 的 工具 包 ， 工 具 包 中 包含 扩展 好 的 自 定义 函数 、 资 源 、 提 供 者 和 Facter 扩 展 。 笔 者 推荐 这 种 方式 ， 因 为 这 种 方式 最 简便 ， 而 且 实 现成 本 也 最 低 。 


方式 二 : 通过 Ruby 语 言 开发 扩 


展 程序 。 但 这 种 适合 比较 的 特殊 的 情况 ， 如 我 们 需要 的 功能 本 身 Puppet 和 外 部 扩展 均 不 提供 ， 所 以 只 能 由 自己 独立 来 开发 。 但 是 在 开发 之 前 建议 优先 了 解 现 有 的 程序 软 


辑 ， 熟 悉 它 的 代码 结构 、 使 用 方式 和 工作 原理 ， 为 我 们 后 续 独 立 开发 开拓 思路 商定 基础 。 


本 节 主 要 介绍 Puppet 自 带 的 系统 函数 ， 关 于 官方 网 站 扩展 包 中 的 函数 和 通过 Ruby 扩 展 函 数 相关 内 容 会 在 第 10 章 中 详细 介绍 。 关 于 Puppet 函 数 的 更 多 信息 请 参考 官方 网 


站 http://docs.puppetlabs.com/references/latest/function.html。 


6.4.1 ”常用 系统 函数 


截至 本 书 出 版 前 ，Puppet 共 提供 了 43 个 系统 函数 ， 它 分 为 6 类 ， 如 表 6-4 所 示 。 由 于 函数 比较 多 ， 不 能 逐一 详细 介绍 ， 这 里 只 介绍 常用 的 系统 函数 的 使 用 方式 ， 其 他 的 按 类 划分 简单 介绍 ， 在 后 续 章 节 


常用 
日 志 级 别 
数字 签名 


hiera 


1.define 


define 函 数 主 : 


(1) define 函 数 格式 


以 下 为 define 函 数 的 格式 : 


到 相关 函数 时 ， 再 详细 介绍 它们 的 使 用 方法 。 


表 6-4 Puppet 系 统 函 数 


define 、tag、 
alert 、crit、emerg 、notice 、warning、 
md5 、shal 


hiera_array、 hiera hash、 hiera_include 


tagged 、generate 、template 、realize 、regsubst、require 、include 、versioncmp 


debug 、err 、info 


each、 split、sprintf、contain、create_resources、extlookup、faill、file、filter、fqdn rand、inline_ 


Select、collect 


define 函数 名 ($variablel, $variable2) { 
} 


template 、lookup、map、reduce、search、shellquote 、slice 


于 创建 自 定义 函数 ，define 支 持 参 数 但 不 支 继承 。 通 常 可 以 通过 define 函 数 将 多 个 资源 整合 为 一 个 资源 。 下 面 来 了 解 一 下 define 函 数 的 格式 和 案例 。 


define 函 数 后 接 自 定义 函数 的 名 与 大 括号 ， 大 括号 中 可 以 包含 变量 、 资 源 、 判 断 语句 和 class 类 等 。 


(2) define 函 数 案例 


通过 define 函 数 来 创建 create_user 自 定义 函数 并 整合 创建 系统 组 和 账户 的 功能 。 首 先 通过 define 创 建 create_user 自 定义 函数 ， 在 create_user 自 定义 函数 参数 中 声明 $name 和 $path 变量 ， 然 后 在 


create_user 自 定义 函数 内 调 


group 和 user 资 源 来 创建 组 和 账号 (关于 


define create user ($user = Sname $path) { 


# group 资 源 与 user 资 源 顺 序 不 能 颠倒 ; 
# 创建 系统 "组 "资源 且 $name 需 要 用 双 引 号 


group {"$name": 
ensure => present, 

} 

user {"$name": 
ensure => present, 
home => $path, 

} 

} 


# 创建 系统 " 账 


"资源 且 Sname 需 要 用 双 引 号 


di 


资源 会 在 第 7 章 详细 讲解 ， 这 里 只 需要 了 解 这 两 个 资源 的 作用 就 可 以 ) 。 编 辑 create_user.pp 文 件 并 将 以 下 内 容 追 加 到 文件 中 。 


最 后 再 来 看 一 下 如 何 使 用 已 经 创建 好 的 create_user 自 定义 函数 。 将 参数 以 hash 的 “ 键 / 值 ”形式 传 入 函数 ， 其 中 “ 键 ”为 函数 中 声明 的 参数 ，“ 值 ”为 参数 值 。 将 代码 追加 到 create_users.pp 文 件 行 
尾 ， 并 调用 puppet apply create_user.pp 文 件 。 代 码 如 下 所 示 : 


create user { 'create user': 
name => 'tony', 
path => '/home/tony', 

i 


执行 结果 : create_user 


定义 函数 先 创建 tony 组 ， 接 着 创建 tony 账 户 和 账户 的 宿主 目录 /home/tony， 这 样 通过 create_user 自 定义 函数 就 将 创建 系统 账户 和 组 融合 到 了 一 起 。 


2.tagged 函 数 介绍 


有 时 Puppet 的 一 个 类 需要 知道 男 一 个 类 是 做 什么 的 ， 例 如 一 个 数据 库 类 需要 知道 一 个 节点 是 否 是 Web 服 务 器 节点 ， 就 可 以 通过 tag 公 有 资源 做 标记 ， 并 通过 系统 tagged 函 数 判断 被 标记 的 类 与 类 之 间 的 
关系 。 下 面 让 来 通过 代码 片段 了 解 一 下 tagged 遂 数 与 tag 公 有 资源 的 用 法 。 


首先 创建 两 个 节点 ， 在 两 个 节点 中 通过 系统 tag 函 数 设置 标识 ， 分 别 为 web 和 databaseserver， 然 后 在 basics 类 中 通过 tagged 函 数 判断 类 加 载 的 tag 名 是 否 存 在 。 


class basics { 


if tagged (webserver) { # 通过 tagged 函 数 判断 被 加 载 类 的 标识 是 否 为 vebserver 
notice("This is a web server") 


; 
if tagged(databaseserver) { 


notice ("This is a databaseserver") # 通过 tagged 函 数 判断 被 加 载 类 的 标识 是 否 为 databaserver 
} 


node 'nodel.testing.com' { 
tag (webserver) # 通过 tag 标 识 此 节点 为 wvebserver 
include webserver 
} 
node 'node2.testing.com' 
tag (databaseserver) # 通过 tag 标 识 此 节点 为 databaserver 
include databaseserver 
include basics # 加 载 basics 基 础 类 
} 


3.generate 函 数 


generate 函 数 可 以 调用 Master 端 的 系统 命令 ， 并 将 输出 结果 回 传 给 Agent。 以 下 为 代码 片段 。 


$result = generate('/usr/bin/env', ‘'bash', '-c','ifconfig') 
notify $result 


generate 中 的 参数 以 逗号 作为 分 隔 ， 其 参数 合 义 如 下 : 
“ /ust/bin/env 表 示 加 载 环 境 。 

.bash 表示 用 的 shell 解 析 器 。 

“ -c 为 bash 的 参数 ， 表 示 后 接 字符 串 。 

"ifconfig 为 系统 命令 ， 表 示 查 看 机 器 的 IP 地 址 。 


4.template 


template 函 数 可 以 通过 file 资 源 调用 ERB 模 板 (ERB 模 板 在 第 8 章 中 详细 介绍 ) 。 以 下 为 调用 代码 片段 。 


template ('my_module/template.erb') 


它 还 可 以 合并 模板 。 以 下 为 代码 片段 。 


template ('my_module/templatel .erb', 'my module/template2.erb') 


5.versioncmp 


versioncmp 函 数 用 于 版 本 号 间 的 比较 。 以 下 为 代码 片段 。 


$result = versioncmp (a, b) 


versioncmp 函 数 有 3 个 返回 值 ， 值 和 含义 如 下 : 
“ 如 果 版 本 a 大 于 版 本 b， 返 回 值 就 为 1。 

“ 如 果 两 个 版 本 相等 ， 返 回 值 就 为 0。 

“ 如 果 版 本 a 小 于 版 本 ， 返 回 值 就 为 -1。 


下 面 看 一 个 versioncmp 案 例 : 


让 Versionemp (人 2356-1717， 2.4.5') > 0 
notice('2.6-1 is > than 2.4.5') 
i 


versioncmp 函 数 判断 “2.6-1” 与 “2.4.5” 的 版 本 号 的 大 小 ， 这 里 前 者 大 于 后 者 ， 所 以 输出 “2.6-1is>than 2.4.5” 信 息 。 
6.reduce 函 数 


reduce 函 数 接收 Puppet 的 数组 与 hash 值 ， 并 可 以 累加 输出 。 以 下 为 代码 片段 。 


# 数组 
$a = [1,2,3] 
$a.reduce |Smemo，S$entry| { Smemo + $entry } # 将 $a 数组 中 的 值 进行 累加 输出 


$a= {a => 1, b => 2, c => 3} 
$a.reduce |$memo, $entry| { [sum, $memo[1l]+$entry[1]] } # 将 hash 类 型 中 的 值 进行 累加 输出 
#=> [sum, 6] 


7.inline template 


inline_template 函 数 可 以 在 资源 参数 中 吝 入 Ruby 代 码 。 以 下 为 代码 片段 。 


cron { 'Puppet agent': 

command => 'puppet agent --server puppet .example.com --test ', 

hour => '0', 

minute => inline _ template ("<%= (hostname) .hash.abs %60 %> "), # 通过 inline_template 函 数 在 cron 资 源 中 增加 Ruby 的 代码 
LE: 


通常 我 们 通过 cron 资 源 来 管理 Agent 访 问 Master， 当 需要 维护 的 Agent 机 器 比较 多 又 都 同时 来 访问 一 台 Master 服 务 器 时 ， 就 会 导致 Master 负 载 比较 高 ， 甚 至 拒绝 提供 服务 。 为 了 减轻 Master 的 负担 ， 
最 好 将 Agent 命 令 通过 cron 资 源 做 分 时 处 理 ， 这 里 并 不 是 直接 让 cron 资 源 来 做 分 时 处 理 ， 而 是 通过 在 inline_template 函 数 中 嵌入 Ruby 代 码 的 方式 来 实现 分 时 处 理 。Ruby 代 码 
((hostname).hash.abs%60) 根据 Hostname 来 计算 一 组 hash 值 ， 为 了 得 到 0~59 之 间 的 整数 ， 这 里 以 % ( 模 除 ) 方式 来 限定 最 终 取 值 的 范围 ， 通 过 取 一 个 随机 值 来 实现 cron 资 源 的 分 时 处 理 。 为 了 演示 结 
果 ， 笔 者 将 inline template 函 数 使 用 单独 写 入 以 下 测试 文件 中 。 


# inlin template.PP 
$random = inline template("<%= (hostname) .hash.abs % 60 %>") 
notify{"$randmo":} 


通过 puppet apply inlin_template.pp 执 行 ， 结 果 如 下 : 


notice: 28 # 根据 hosname 计 算 生成 随机 值 
notice: /Stage[main]//Notify[28] /message: defined 'message' as '28' 
notice: Finished catalog run in 0.02 seconds 


将 此 值 28 设 置 为 cron 资 源 中 的 minute 属 性 ， 每 次 Agent 访 问 Master 的 时 间 就 设 定 在 了 每 小 时 的 第 28 分 钟 ， 由 于 每 台 Agent 的 Hostname 不 一 致 ， 所 以 最 终 通 过 Hostname 生 成 的 随机 数 也 不 一 样 ， 最 终 
达到 了 Agent 分 时 访问 Master 的 目的 。 


8.shellquote 


shellquot 浮 数 可 以 自动 为 字符 串 加 引号 ,合并 串联 字符 串 变 量 。 以 下 为 代码 片段 。 


$source = 'source' 

$target = 'target' 

$string = shellquote( $source, $target ) # 通过 shellquote 函 数 串联 $srouce 与 $target 变量 值 
$command = "/bin/mv ${string}" 


notify { $command: } 


以 下 为 运行 结果 。 


notice: /bin/mv "source" "target" 


6.4.2 ”其 他 系统 函数 


除了 上 边 介绍 的 系统 函数 外 ， 本 节 再 来 简单 介绍 几 个 其 他 的 系统 函数 。 


“常用: 另外 常用 的 系统 函数 还 包含 tealize (实例 化 虚拟 资源 ， 在 第 7 章 详细 介绍 ) 、regsubst (字符 串 替 换 函 数 ) 、require (衔接 类 与 类 之 间 的 关系 函数 ) 、include (加 载 函 数 ， 在 6.7.2 节 介绍 ) 。 
' 日 志 级 别 : alert、crit、emerg、notice、warning、debug、err 和 info， 主 要 用 于 Puppet 的 日 志 级 别 。 

“ 数字 签名 : md5 和 shal 分 别 表示 不 同 算法 的 数字 签名 。 

* hiera: hiera array、 hiera hash 和 hiera include。 


“其他: each (返回 序列 中 第 一 个 参数 ) 、split (字符 串 切割 ) 、sprintf (字符 串 格 式 化 ) 、contain (类 包含 ) 、create_resources (转换 hash， 并 将 资源 放 入 catalog) 、extlookup (外 部 文件 读 取 ) 、 
fail (解析 错误 ， 主 要 用 于 调试 代码 ) 、file (输出 文件 内 容 函 数 ) 、filter (hash 或 数组 遍历 骂 数 ) 、fqdn_rand (生成 一 个 0 到 最 大 值 的 随机 数 ， 如 fgdn_rand(30)) 、 内 谋 lookup (查找 绑 定 函数 ) 、map (遍历 数 


组 ) 、search (搜索 类 路 径 ) 、slice (遍历 数组 范围 ， 如 slice($[L ，2，3，4，5，6]，2)#produces[I1，23]，B，4 和 ，65，6) 。 


' 废弃 : collect (目前 已 更 名 为 map) 、select (目前 已 更 名 为 filter) 。 


6.5 Puppet tag 


Tag (中 文 译 为 “标签 ”， 下 称 标 签 ) 由 字母 ([a~z]IA~Z]) 、 数 字 ([0~9]) 和 下 划 线 (_) 组 成 。tag 的 作用 是 给 Puppet 中 的 类 、 资 源 和 自 定义 函数 打 标 签 ， 可 以 通过 puppet agent 命 令 ， 根 据 打 的 


标签 来 独立 执行 某 一 类 、 资 源 或 自 定义 函数 。 下 面 来 看 一 下 标签 的 用 法 。 
1) 如 何 定义 tag， 以 下 为 代码 片段 。 
apache: :vhost { "docs.puppetlabs.com' : 
port => 80, 
tag => ['us mirrorl'，'us mirror2']， # 设置 此 类 的 tag 标 签 为 us_mirrorl 和 us_mirror2 


} 


2) 通过 puppet agent 来 更 新 指定 标签 。 


指定 标签 更 新 分 为 以 下 3 步 : 


步骤 1 在 site.pp 文 件 中 定义 tag。 


file {'/etc/host': 
ensure => file, 


source => 'puppet:///modules/host', 
mode => '0644', 
tag => ['wds','djangowang','jack'], 


} 


步骤 2 通过 puppet master 在 编译 好 的 catalog 中 查找 wds 标 识 。 


puppet master --compile puppet .example.com | grep -10 wds 


"pile", 
: "/etc/puppet/environments/production/manifests/site.pp" 


以 下 为 结果 的 截取 。 


步骤 3 ”在 Agent 主 动 更 新 指定 的 wds 标 签 。 


puppet agent ~server puppet .example.com —-test -tags wds 


6.6 ”Puppet 关 键 字 


Puppet 语 言 中 的 关键 字 即 系统 保留 的 单词 或 字符 


， 它 们 不 能 被 用 来 声明 变量 、 


六 
洪 


类 型 
case 
class 
default 

. 般 性 关键 字 i 


elsif 


import 


a 

上 
el 
om 


class 类 、define 函 数 名 和 自 定义 函数 等 。 如 表 6-5 所 示 为 Puppet 语 言 的 关键 字 。 


表 6-5 ”Puppet 语言 关键 字 列 表 


般 性 关键 字 


表达 式 操 


作 符 关键 字 


布尔 值 关 键 字 
特殊 值 关键 字 


一 


关 键 字 
inherits 
node 
unless 
and 

in 

or 

true 、false 


undef 


加 注意 ”在 Puppet 3 版 本 中 ,保留 字符 也 许可 以 作为 自 定义 资源 类 型 中 属性 的 名 称 。 相 对 于 2.7 版 本 及 更 早 的 版 本 的 表现 来 说 ，Puppet 3 版 本 无 疑 做 了 重大 的 改变 。 


除 此 之 外 还 有 一 些 资源 名 和 函数 名 也 是 保留 的 。 更 多 信息 请 参考 官方 网 站 资源 名 关键 字 http://docs.puppetlabs.comyreferencesy/latest/type.html 和 函数 名 关键 


字 http://docs.puppetlabs.corny/referencesylatest/function.html。 


6.7 ”Puppet 编 程 规 范 


为 什么 要 介绍 Puppet 编 程 规范 ?好 的 规范 可 以 促进 团队 合作 ,减少 bug 处 理 ， 降 低 维 护 成 本 ， 并 有 助 于 代码 


、 变 量 的 规范 、 资 源 的 规范 和 类 的 规范 。 


的 规范 、 代 码 注释 的 风 


6.7.1 manifests 和 modules 中 的 间距 、 缩 进 与 空白 


Puppet 对 Agent 的 配置 清单 主要 集中 在 manifests 和 modules 两 个 
个 目录 中 所 有 以 *.pp 为 结尾 的 文件 ， 都 需要 遵守 此 规范 。 


“ 建议 使 用 两 个 空格 的 软 标签 。 

“ 不 推荐 使 用 制 表 符 (\t) 。 

“ 尾部 不 要 包含 空格 。 

“ 建议 单行 不 要 超过 80 个 字符 的 宽度 。 


“ 在 资源 的 属性 中 ， 通 过 => 符 号 进行 属性 的 对 齐 。 


6.7.2 注释 


录 中 ， 这 里 介绍 manifests 和 modules 目 录 中 清单 代码 文件 的 符号 间距 、 缩 进 与 空白 


的 使 


有 查 等 。 所 以 这 里 有 必要 了 解 一 下 PUppet 编 程 规范 ， 并 加 以 重视 。 下 面 来 介绍 一 下 Puppet 


规范 ， 也 就 是 在 manifests 和 modules 两 


在 编写 程序 语言 时 写 注释 是 非常 好 的 习惯 ， 可 以 让 他 人 方便 地 了 解 程序 逻辑 、 程 序 开发 者 是 谁 和 程序 开发 时 间 等 信息 。 在 Puppet 语 言 中 也 是 支持 注释 的 ， 它 目前 支持 两 种 风格 语言 注释 ， 一 种 是 Shell 


语言 注释 风格 ， 另 一 种 是 C 语 言 注释 风格 。 下 面 来 看 一 下 两 种 风格 的 语言 注释 。 


1.Shell 脚 本 风格 注释 


Shell 脚 本 注释 风格 通常 也 是 Ruby 语 言 的 注释 风格 ， 它 以 “# ”作为 注释 开始 ， 可 以 在 代码 中 通过 “# ”方式 来 标识 代码 逻辑 和 其 他 的 注释 信息 等 。 不 过 目前 “# ”不 支持 多 行 注释 。Shell 脚 本 风格 注释 
示例 内 容 如 下 。 


# this is test 

file {'/etc/ntp.conf': 
ensure => file, 

owner => 'root', 


} 


2.C 语 言 风格 注释 


C 语 言 注 释 风 格 以 “/*” 作 为 开始 ， 以 “*/” 作 为 注释 结束 。 它 可 支持 多 行 注释 ， 但 不 支持 C 语 言 的 “//” 单 行 注释 。C 语 言 风格 注释 的 示例 内 容 如 下 。 


/六 

author: wds 
time: 2013.12.12 
Sy 


file {'/etc/ntp.conf': 
ensure => file, 
owner => 'root', 


} 


6.7.3 ”变量 规范 
下 面 来 介绍 定义 变量 的 规范 ， 同 时 介绍 如 何 正确 使 用 ”、“” 与 等 符号 。 
变量 只 包含 字母 ([a~z]I[A~Z]) 、 数 字 ([0~9]) 和 下 划 线 (_) 。 以 下 为 正确 的 定义 与 错误 的 声明 方式 。 


正确 : 


$foo bar123 


错误 : 


$foo bar1l23 


要 正确 地 使 用 ”、“” 与 0 等 符号 。 在 不 包含 变量 的 字符 串 中 都 应 该 通过 ” 进行 引用 ; 如 果 字 符 串 中 包含 变量 则 可 以 通过 “” 进 行 引用 ; 如 果 字符 串 中 即 有 变量 又 有 其 他 字符 串 ， 可 以 通过 人 进行 引 
用 。 以 下 为 “” 、 ” 与 (推荐 与 不 推荐 的 书写 方式 。 


推荐 : 


"/etc/${file} .conf" 
"${::operatingsystem} is not supported by ${module name}" 


不 推荐 : 


"/etc/$file.conf™ 
"$: :operatingsystem is not supported by $module name" 


变量 被 引用 时 不 用 加 


推荐 : 


mode => $my_mode 


不 推荐 : 


mode => "$my_mode" 
mode => "${my mode}" 


6.7.4 ”资源 规范 
关于 “资源 ”会 在 第 7 章 中 详细 介绍 。 以 下 为 与 资源 相关 的 规范 。 
1. 资 源 的 标题 
资源 的 标题 需要 用 单 引号 或 双 引 号 引起 来 ， 同 时 标题 中 不 能 包含 空格 和 连 字符 。 以 下 为 推荐 与 不 推荐 的 书写 方式 。 


推荐 : 


Package { 'openssh': ensure => present } 


不 推荐 : 


package { openssh: ensure => present } # openssh 缺少 单 引号 


2. 符 号 对 齐 方式 


资源 中 所 有 的 属性 与 值 需要 以 = > 符号 为 准 尽量 对 齐 。 以 下 为 推荐 与 不 推荐 的 书写 方式 。 


推荐 : 


exec { "blah' : 
path => '/usr/bin', 
cwd => '/tmp', 
} 
exec { 'test': 
subscribe => File['/etc/test'], 
refreshonly => true, 
} 


不 推荐 : 


exec { "blah' : 
path => '/usr/bin', 
cwd => '/tmp', 


# 没有 按照 "=>" 符 号 对 齐 


} 
exec { 'test': 

subscribe => File['/etc/test'], 
refreshonly => true, 


} 


3. 属 性 的 顺序 


当 资 源 中 出 现 ensure 属 性 时 ， 建 议 将 此 属性 写 在 资源 首部 。 


file { '/tmp/readme.txt': 
ensure => file, 

owner => '0', 

group => '0', 

mode => '0644', 

} 


# 建议 ensure 写 在 首 前 


4 资源 关联 关系 


资源 应 该 由 逻辑 关系 被 划 为 一 组 ， 而 非 通过 资源 类 型 来 划分 。 以 下 为 正确 的 描述 方式 和 错误 的 描述 方式 。 


正确 : 


file { '/tmp/a': 
content => 'a', 


exec { 'change contents of a': 
command => 'sed -i.bak s/a/A/g /tmp/a', 


} 
file { '/tmp/b': 
content => 'b', 
} 
exec { 'change contents of b': 
command => 'sed -i.bak s/b/B/g /tmp/b', 
} 


错误 : 
file { # file 中 包含 了 两 次 写 文件 逻辑 
"ytmpyan: 
Content => "a"; 
"/tmp/pb": 
content => "b"; 
i 
exec { # exec 中 包含 了 两 次 替换 文件 逻辑 


"change contents of a": 

command => "sed -i.bak s/b/B/g /tmp/a"; 
"change contents of b": 

command => "sed -i.bak s/b/B/g /tmp/b"7 
} 


5. 软 链接 


通过 file 资 源 建立 软 链接 的 时 候 ， 需 要 设置 ensure= >link， 并 通过 target 


正确 : 


属性 来 指定 目标 文件 。 以 下 为 正确 的 书写 形式 与 错误 的 书写 形式 。 


file { '/var/log/syslog': # 源 文件 
ensure => link, # 创建 软 链 属性 
target => '/var/log/messages', # 目标 文件 
} 


错误 : 


file { '/var/log/syslog': 
ensure => '/var/log/messages', 


} 


6. 文 件 模式 


通过 file 资 源 设置 文件 权限 时 需要 注意 以 下 两 点 : 
“ 文件 权限 应 该 由 4 位 数字 组 成 ， 而 非 3 位 。 
:权限 数字 应 该 通过 “” 引 用 。 


推荐 : 


file { '/var/log/syslog': 
ensure => present, 


mode => '0644', 
} 


不 推荐 : 


file { '/var/log/syslog': 
ensure => present, 
mode => 644, 

} 


7. 资 源 默认 属性 


默认 资源 可 以 为 资源 提前 声明 属性 和 值 ， 这 就 解决 了 定义 相同 资源 属性 重 定义 的 情况 。 这 里 需要 注意 默认 资源 需要 声明 在 top 域 中 ， 推 荐 写 在 site.pp 文 件 开始 位 置 。 以 下 为 推荐 书写 形式 与 不 推荐 书写 
形式 。 


推荐 : 


# /etc/puppetlabs/puppet/manifests/site.pp: # 推荐 将 定义 资源 默认 属性 放 到 site.pP 文 件 的 首 阐 
File { 


mode => '0644', 
owner => 'root', 
group => 'root', 


不 推荐 : 


# /etc/puppetlabs/puppet/modules/ssh/manifests/init.pp # 不 推荐 定义 在 in 让 .PP 文件 中 
File { 


mode => '0600', 
owner => 'nobody', 
group => 'nogroup', 


} 
class {'ssh::client': 
ensure => present, 


} 


6.7.5 ”条件 语句 规范 


通常 不 建议 将 selector 语 句 与 资源 混用 。 以 下 为 推荐 与 不 推荐 的 书写 形式 。 


推荐 : 


$: 
debian => '000 
redhat => '0776', 
fedora => '0007', 


$file mode = $::operatingsystem ? { 
时 


} 

file { '/tmp/readme.txt': 
content => "Hello World\n", 
mode => $file mode， 

E 


不 推荐 : 


file { '/tmp/readme.txt': 
mode => $: :operatingsystem ? { 
debian => '0777', 
redhat => '0776', 
fedora => '0007', 
} 
} 


6.7.6 class 类 规范 


在 第 5 章 中 已 经 介绍 过 “类 ”了 ， 下 面 专门 来 介绍 一 下 class 类 的 相关 的 规范 。 


1. 独 立 文件 


为 了 代码 与 逻辑 的 清晰 ， 所 有 的 资源 与 类 需要 定义 在 单独 的 文件 中 ， 并 通过 init.pp 文 件 来 组 合 这 些 文件 、 资 源 与 类 的 关系 。 下 面 以 代码 片段 的 方式 来 介绍 文件 之 间 的 关联 关系 。 


# /etc/puppetlabs/puppet/modules/apache/manifests 
# init.pp 
class apache { 
include: :apache: :ssl 
include: :apache: :virtual host 
} 
# ssl.pp 
class apache::ssl 1{...} 
# virtual host.pp 
define apache: :virtual host 0 {sd 


下 面 简单 分 析 一 下 以 上 代码 片段 的 关联 关系 。 
“ init.pp 文 件 : 建立 文件 之 间 的 关联 关系 。 
“ssl.pp 文 件 : 安装 Apache 的 SSL 相 关 环境 。 


' virtual_host. pp 文件 : 定义 虚拟 主机 。 


2. 类 的 内 部 组 织 结构 


以 下 为 类 内 部 组 织 结构 的 要 求 : 


“ 需要 对 参数 进行 验证 。 


“ 通过 条 件 语句 组 织 内 部 类 关系 。 


“ 建立 资源 与 资源 之 间 的 关联 关系 。 


“ 声明 默认 资源 ， 并 窗 盖 资源 属性 。 


类 的 范例 : 
# 定 义 类 名 与 参数 


class myservice ($ensure='running') { 
# 对 输入 的 参数 进行 合法 校 验 
if $ensure in [ running, stopped ] { 
$_ensure = $ensure 
} else { 
fail ('ensure parameter must be running or stopped') 


} 
# 通 过 条 件 语 句 组 织 类 内 部 关系 
Case $::operatingsystem { 
centos: { $package list = 'openssh-server'} # 预 设 参数 
solaris: {S$package list = [ SUNWsshr, SUNWsshu ]} # 预 设 参数 
default: {fail ("Module ${module name} does not support ${::operatingsystem}") # 预 设 参数 
} 
# 声明 局 部 变量 Svariable = 'something' 
# 声明 默认 资源 并 覆盖 资源 属性 Package { ensure => Present，} 
File { owner => '0', group => '0', mode => '0644' } 
package { $package list: } 
file { "/tmp/$ {variable}": 
ensure => present, 
} 
service { 'myservice': 
ensure => $_ensure, 
hasstatus => true,} 
} 


(1) 符号 关联 关系 
通过 -> 符号 建立 资源 之 间 的 关联 关系 的 顺序 为 从 “ 左 到 右 ”。 


正确 : 


Package ['httpd'] -> Service['httpd'] 


错误 : 


Service['httpd'] <- Package['httpd'] 


(2) 模块 的 继承 


继承 可 以 在 模块 中 使 用 ， 但 不 推荐 跨 模块 的 命名 空间 使 用 。 


推荐 : 

class ssh { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } 

class ssh::client inherits ssh { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } 

class ssh::server inherits ssh { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } 

class ssh::server::solaris inherits ssh::server { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } 


跨 模块 继承 。 不 推荐 : 


class ssh inherits server { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } 
class ssh::client inherits workstation { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } 
class wordpress inherits apache { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } 


6.7.7 ”标识 符 命名 规范 
1) 变量 命名 规则 : 
“ 符合 正则 表达 式 规范 〈\AN$[a-zA-Z0-9_]+\Z) ， 不 包含 特殊 的 字符 ， 如 %@^ 等 。 
“ 变量 名 区 分 大 小 写 ， 如 $foo 与 FOO 为 不 同 的 变量 。 
2) class 类 命名 规则 : 
“ 符合 正则 表达 式 规 范 (\Ala-z][a-z0-9_]*\Z) ， 不 包含 特殊 的 字符 ， 如 %@^ 等 。 
“ 如 果 类 名 中 使 用 了 命名 空间 需要 以 “::” 作 为 分 隔 ， 并 符合 正则 表达 式 规范 (\Al[a-z][a-z0-9_]*)(::[a-z][a-z0-9_]*)*\ZZ) 。 
3) modules 命 名 规则 : 
“ 符合 正则 表达 式 规范 〈\A[a-zl][a-z0-9_]*\Z) 。 
“ 模块 名 的 首 字母 不 能 为 大 写 。 
4) tag 命 名 规则 : 符合 正则 表达 式 规 范 (人 Ala-z0-9._-]+\2/.)。 


5) nodes 节 点 命名 规则 : 符合 正则 表达 式 规 范 ( 作 A[a-z0-9. -]+\Z/.) 。 


6.8 Puppet 文 件 的 导入 、 命 名 空间 与 自动 加 载 


6.8.1 Puppet 文 件 的 导入 


Puppet 可 以 将 一 个 文件 内 容 插入 另 一 个 文件 中 ， 或 者 将 多 个 文件 内 容 插 入 一 个 文件 中 ， 这 一 功能 叫做 导入 。manifests 和 modules 两 个 目录 的 导入 方式 是 不 一 样 的 ， 下 面 分 别 看 一 下 这 两 个 目录 的 导入 
方式 。 


1.manifests 目 录 导 入 方式 


在 manifests 目 录 内 文件 与 文件 之 间 的 导入 功能 通常 使 用 mport 函 数 来 完成 ， 来 看 一 下 Puppet 文 件 导入 的 具体 情况 。 


# 在 site.pP 文 件 中 加 载 当前 nodes 目 录 下 所 有 的 * .PE 文件 
import "nodes/* .pp' 

# 在 site pp 文件 中 固 坊 nodes .pp 文件 内 容 

import "nodes.PP' 


import 函 数 可 以 导入 manifests 目 录 中 的 一 个 文件 ， 也 可 以 导入 多 个 文件 ， 多 个 文件 可 以 使 用 通配符 “*” 来 表示 。 


下 面 来 看 一 下 导入 功能 的 使 用 场景 。manifests 目 录 是 一 个 清单 文件 的 目录 ， 包 含 任务 清单 ， 同 时 也 包含 任务 的 业务 逻辑 。 如 通过 Puppet 管 理 一 个 网 站 的 多 个 子 功能 就 可 以 将 子 功 能 的 代码 独立 到 一 
个 .pp 文件 中 ， 这 样 写 的 好 处 是 可 以 让 代码 与 代码 之 间 变 得 更 简洁 。 来 看 以 下 的 代码 片段 。 


# site.pp 文 件 

import 'nodes/common.pp' 
import 'nodes/web.pp' 
import "nodes/cache.PP' 
import 'nodes/db.pp’' 


在 site.pp 文 件 中 依次 加 载 common.pp、web.pp、cache.pp 和 db.pp 文 件 。 其 中 common 文 件 内 容 包含 了 网 站 的 所 有 公有 库 文件 ，web.pp 文 件 包含 了 网 站 的 所 有 web 站 点 管理 ，cache.pp 文 件 包含 了 
网 站 所 有 的 cache 数 据 ，db.pp 文 件 包含 了 网 站 的 所 有 数据 库 站 点 管理 配置 功能 。 这 样 就 通过 import 函 数 串联 了 整个 网 站 的 子 功能 。 


2.modules 目 录 导 入 方式 


在 第 4 章节 我 们 介绍 过 modules 基 础 模块 目录 ， 它 类 似 一 个 仓库 ， 存 放 了 配置 管理 的 模块 代码 和 配置 文件 等 。 通 常 site.pp 文 件 导入 modules 基 础 模块 中 的 模块 文件 时 ， 使 用 的 是 include 函 数 ，include 
函数 会 根据 Puppet.conf 文 件 中 的 modulepath 参 数 搜索 基础 模块 的 模块 目录 路 径 ， 并 自动 加 载 基础 模块 目录 中 的 init.pp 文 件 。 以 下 是 在 site.pp 文 件 中 加 载 ntp 模 块 的 代码 片段 。 


#site.pp 

node 'puppet.example.com' { 

# /etc/puppet/manifests/modules/ntp/init.pp 
include ntp 


} 


在 site.pp 文 件 中 通过 include 函 数 导 入 ntp 模 块 ，ntp 的 相关 配置 存放 在 /etc/puppet/manifests/modules/ntp/ 目 录 中 。 


6.8.2 ”Puppet 命 名 空间 与 自动 装载 


1. 命 名 空间 


什么 是 命名 空间 ? 命名 空间 是 用 来 组 织 和 重用 代码 的 编译 单元 。 如 同名 字 一 样 的 意思 ， 之 所 以 会 有 NameSpace (命名 空间 ) ， 是 因为 人 类 可 用 的 单词 数 太 少 ， 并 且 不 同 的 人 写 的 程序 不 可 能 所 有 的 变 
量 都 不 重 名 。 对 于 库 来 说 ， 这 个 问题 尤其 严重 ， 如 果 两 个 人 写 的 库 文件 中 出 现 同 名 的 变量 或 函数 (不 可 避免 ) ， 使 用 起 来 就 有 问题 了 。 为 了 解决 这 个 问题 ， 引 入 了 命名 空间 这 个 概念 。Puppet 中 通 
过 “:” 支 持 命名 空间 的 使 用 方式 ， 如 以 下 代码 。 


class apache { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } # 基础 类 

class apache: :mod { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } # 模块 类 

class apache: :mod: :passenger { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/OEBPS/Text/... } # 模块 类 ,表示 mod 模 块 下 的 passenger 楼 
define apache::vhost { http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... } # 自 定义 函数 


如 以 上 代码 所 示 ，apache 为 基础 类 ， 通 过 “::” 来 创建 模块 类 和 自 定义 函数 名 。 基 础 类 的 功能 是 用 来 确认 Apache 的 状态 ， 并 能 正常 地 运行 Apache， 而 模块 类 用 于 Apache 的 一 些 模块 化 的 个 性 配置 。 
Puppet 通 过 命名 空间 的 方式 来 串联 基础 类 、 模 块 类 和 自 定义 函数 等 ， 让 我 们 一 目 了 然 地 了 解 模块 之 间 的 关系 与 作用 如 以 下 代码 段 : 


class apache { 
include apache: :mod 
include apache: :mod: :passenger 
include apache: :vhost 


} 


2. 自 动 装载 


继续 刚刚 的 命名 空间 案例 ， 我 们 可 以 直接 加 载 apache 的 基础 类 和 模块 类 。 之 所 以 可 以 直接 写 apache 类 名 ， 就 是 因为 Puppet 中 引入 了 自动 装载 技术 。 自 动 装载 技术 可 以 让 我 们 省 去 很 多 的 重复 劳动 ， 让 
代码 更 加 整洁 。 通 过 以 下 代码 片段 ， 来 看 一 下 Puppet 是 如 何 实现 自动 装载 的 。 


#/etc/puppet/manifests/site.ppnode default{ 
include apache 


} 


其 中 apache 类 在 modules 基 础 模块 目录 结构 如 表 6-6 所 示 。 


表 6-6 Apache 基 础 模块 目录 结构 


类 名 基础 模块 路 径 文件 作用 


apache /etc/puppet/modules/apache/manifests/init.pp 安装 逻辑 


apache::mod /etc/puppet/modules /apache/manifests/mod.pp 安装 模块 


apache::mod::passenger /etc/puppet/modules/apache/manifests/mod/passenger.pp 安装 模块 


当 Agent 访 问 Master 时 会 自动 装载 site.pp 文 件 ，site.pp 通 过 include 函 数 直 接 装 载 modules 基 础 模块 中 的 apache 类 ， 其 中 include 函 数 装 载 modules 基 础 模块 过 程 是 通过 puppet.conf 中 的 modulepath 
参数 的 路 径 /etc/puppet/modules/ 来 完成 的 。 根 据 modulepath 参 数 中 的 路 径 可 找到 /etc/puppet/modules/apache/manifests/ 路 径 ， 并 装载 init.pp 文 件 中 的 apache 类 。init.pp 在 每 个 modules 模 块 目录 
中 都 有 ， 它 是 一 个 初始 化 加 载 的 文件 ， 如 果 没 有 会 Puppet 会 报错 。 


#/etc/puppet/modules/apache/manifests/init.PP 
class apache{ 

include apache: :mod 

include apache: :passenger 


} 


apache 类 会 装载 apache::mod 和 apache::passenger 类 ， 其 中 apache::mod 为 init.pp 文 件 同 路 径 下 的 mod.pp 文 件 ， 主 要 用 于 安装 Apache 的 相关 模块 ;apache::passenger 为 init.pp 文 件 同 级 mod 目 录 
中 的 passenger.pp 文 件 ， 主 要 用 于 安装 passenger 模 块 。site.pp 文 件 会 自动 装载 apache 目 录 中 的 init.pp 文 件 ，init.pp 文 件 会 自动 装载 mod.pp 和 passenger.pp 文 件 。3 个 文件 组 成 了 对 Apache 的 配置 管理 
功能 ， 这 就 是 Puppet 的 自动 装载 功能 。 


第 7 章 ”Puppet 资 源 详解 


如 果 将 Puppet 语 言 看 成 Puppet 的 骨架 ， 那 么 资源 就 是 Puppet 的 精 央 ， 整 个 Puppet 的 配置 与 管理 工作 都 是 围绕 着 资源 来 进行 的 ， 所 以 读者 要 重视 对 本 章 内 容 的 学 习 。Puppet 将 配置 与 管理 操作 系统 的 
每 一 个 功能 并 将 其 封装 成 为 一 个 资源 ， 而 每 个 资源 又 由 提供 者 兼容 了 不 同 操作 系统 发 行 版 本 的 管理 ， 让 系统 管理 员 不 必 关 心底 层 操作 系统 的 发 行 版 本 ， 而 专心 于 配置 与 逻辑 的 管理 。 不 仅 如 此 ， 资 源 还 提供 
了 其 他 的 特色 功能 ， 如 虚拟 资源 、 资 源 导出 、 默 认 资 源 等 ， 让 我 们 在 不 同 的 环境 与 需求 下 都 能 够 很 好 地 使 用 Puppet 的 资源 功能 。 


本 章 首 先 介绍 Puppet 资 源 ， 让 大 家 对 资源 有 个 基本 的 认识 ， 并 找到 学 习 的 方向 ;然后 介绍 Puppet 的 常用 资源 ， 并 深入 介绍 常用 资源 的 属性 与 案例 ， 让 读者 对 资源 运用 有 一 个 初步 了 解 与 认识 ， 为 学 习 
更 多 的 资源 打下 基础 ; 然后 介绍 资源 的 公有 属性 ， 公 有 属性 的 作用 是 让 资源 与 资源 之 间 建 立 关系 并 协调 使 用 ; 接着 介绍 默认 资源 ， 它 的 作用 是 用 来 初始 化 资源 的 属性 与 值 ; 最 后 介绍 资源 的 高 级 功能 
拟 资源 与 资源 的 导出 ， 虚 拟 资源 主要 解决 资源 的 重 定义 问题 ， 它 的 优势 是 可 以 提高 Puppet 代 码 的 复 用 率 ， 降 低 重复 开发 的 成 本 ; 资源 导出 功能 主要 的 用 途 是 为 服务 器 交换 信息 搭建 一 个 桥梁 。 


虚 


7.1 Puppet 资 源 


在 本 节 中 ， 首 先 介绍 Puppet 资 源 的 分 类 ; 然后 介绍 资源 与 Puppet 的 协同 工作 ; 最 后 介绍 资源 的 构成 。 


7.1.1 Puppet 资 源 分 类 


Puppet 中 的 resources (中 文 译 为 “资源 ”， 下 称 资源 ) 可 以 说 是 整个 puppet 配 置 管理 工具 中 的 核心 ， 在 第 5 章 ， 通 过 Puppet 构 建 主机 中 就 可 以 经 常 看 到 它 的 身影 ， 它 是 通过 Puppet 管 理 配 置 系统 的 
最 小 单位 。 截 至 本 书 出 版 前 ，Puppet 官 方 网 站 共 提 供 了 48 个 资源 。 笔 者 将 它们 按 功能 与 使 用 频率 划分 为 3 类 ， 分 别 是 常用 资源 、 次 常用 资源 和 nagios 资 源 。 


“ 常用 资源 : file、filebucket、group、exec、host、notify、cron、service、user 和 package。 


' 次 常用 资源 : augeas、computer、interface、mailalias、maillist、mcx、 touter、schedule、scheduled_task、ssh_authorized_key、sshkey、zpool、yumrepo、zfs、zone、macauthorization、tresources、selmodule、 


k5login、mount、selboolean、stage、tidy 和 vlan。 


“ nagios 资 源 : nagios_hostescalation、nagios_hostextinfo、nagios_hostgroup、nagios_serviceescalation、nagios_serviceextinfo、nagios_servicegroup、nagios_hostdependency、nagios_servicedependency、 


nagios_service、 nagios_timeperiod、 nagios_command、nagios_contact、 nagios_contactgroup 和 nagios_host。 


本 章 主要 介绍 常用 资源 ， 次 常用 资源 会 在 后 续 章节 涉及 时 单独 介绍 ， 而 nagios 资 源 主要 管理 Nagios 监 控 工 具 ， 是 一 款 开源 免费 的 监控 工具 ， 本 书 并 不 涉及 Nagios 监 控 ， 所 以 这 里 不 获 述 。 


7.1.2 ”资源 与 Puppet 协 同 工 作 


在 Puppet 中 每 一 个 资源 都 是 一 种 管理 功能 的 集合 ， 它 们 有 着 相对 独立 的 属性 和 值 。 这 些 属性 和 值 的 自由 组 合 就 形成 了 强大 的 配置 管理 操作 系统 的 功能 。 运 维 工 程 师 不 必 关 心 操作 系统 的 类 型 和 发 行 版 
本 ， 因 为 所 有 的 资源 包含 一 个 特殊 的 属性 一 一 “提供 者 ”， 提 供 者 属性 已 经 对 常用 的 系统 发 行 版 本 进行 了 兼容 ， 通 常 提供 者 可 以 自动 判断 系统 发 行 版 本 ， 并 按照 系统 发 行 版 本 执行 相应 的 逻辑 功能 。 最 终 
Puppet 语 言 与 资源 的 结合 就 对 操作 系统 实现 了 透明 管理 的 功能 ， 如 图 7-1 所 示 。 


Puppet 
ldap 


7.1.3 ”资源 的 组 成 


以 下 为 Puppet 资 源 使 用 的 基本 格式 和 案例 。 


资源 的 基本 格式 如 下 : 


提供 者 (useradd、yum、posix、 
、Sshell、pw、windows 、port) 


图 7-1 Puppet 资源 


资源 名 {' 标 题 ': 


属性 1 => 
属 


' 值 '， 


下 面 以 安装 Nginx 为 例 来 介绍 资源 的 基本 组 成 。 


资源 的 案例 如 下 : 


package { 


'nginx': 


ensure => present, 
Provider => 'rpm', 


} 


package 资 源 主要 


属性 表示 安装 的 状态 〈 通 过 更 改 或 增 ensure 


包 名 ，ensure 


于 程序 包 的 安装 。 我 们 可 以 看 到 package 资 源 中 使 


了 key= >values 的 格式 ， 案 例 介 绍 了 通过 package 资 源 来 安装 Nginx 这 款 Web 服 务 器 的 方法 ， 其 中 nginx 标 题 表示 安装 软件 的 
如 ) ; provider 属 性 为 提供 者 ， 它 表示 安装 软件 使 用 的 平台 。 


属性 的 值 来 实现 对 Nginx 服 务 的 安装 、 升 级 和 删除 ， 让 软件 变更 变 得 更 加 灵活 


在 学 习 Puppet 资 源 过 程 中 读者 首先 需要 对 资源 有 一 个 基本 的 了 解 ， 了 解 每 个 资源 的 作用 和 应 用 场景 ， 然 后 再 了 解 资 源 中 的 常用 属性 与 用 途 。 读 者 还 要 特别 关注 资源 的 Providers (中 文 译 为 “提供 
者 ”) 与 Features (中 文 译 为 “特性 ”) 两 个 重要 的 属性 。 


在 这 里 Providers 表 示 资 源 对 不 同 的 操作 系统 平台 的 支持 状况 ， 也 就 是 根据 操作 系统 的 发 行 版 本 执行 不 同 的 逻辑 功能 ; Features 表 示 资 源 在 不 同 平 


台 上 的 一 些 特性 。 


看 到 这 里 很 多 读者 可 能 会 觉得 无 从 下 手 ， 这 么 多 的 资源 、 属 性 和 特性 什么 时 候 才能 完全 掌握 ! 不 用 担心 ， 笔 者 建议 只 要 掌握 常用 资源 和 它们 的 常用 属性 就 可 以 了 ， 其 他 的 资源 用 到 时 可 以 通过 第 4 章 介绍 
过 的 describe 工 具 或 者 官方 网 站 来 查找 它们 的 使 用 方法 ， 这 样 就 会 降低 Puppet 的 学 习 成 本 。 关 于 Puppet 资 源 的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/references/latest/type.html。 


7.2 ”Puppet 常 用 资源 介绍 


下 面 来 了 解 一 下 Puppet 常 用 的 资源 ， 及 资源 的 属性 、 特 性 和 资源 的 使 用 案例 。 在 第 4 章 我 们 介绍 过 Puppet 的 访问 方式 可 通过 C/S 结 构 使 用 也 可 通过 单机 独立 使 用 ， 本 节 主 要 介绍 Puppet 资 源 的 使 用 和 案 
例 ， 对 Puppet 访 问 方式 并 不 做 重点 讲解 。 所 以 为 了 降低 读者 的 学 习 成 本 ， 如 果 不 做 特别 介绍 ， 本 书 默 认 采 用 单机 独立 的 形式 。 下 面 依次 介绍 file、filebucket、host、user、group、package、service、 
exec、cron 和 notify 资 源 常用 属性 和 案例 。 


7.2.1 file 与 filebucket 资 源 


在 很 多 场景 中 file 与 filebucket 资 源 会 一 起 使 用 ， 所 以 将 它们 放 在 一 起 来 介绍 。 首 先 介绍 file 资 源 使 用 与 案例 ， 然 后 介绍 filebucket 资 源 。file 资 源 主要 用 来 管理 操作 系统 的 文件 、 文 件 权限 、 创 建 目录 和 
软 连接 等 ， 它 还 可 以 通过 Puppet 的 文件 传输 协议 ， 从 Master 同 步 配置 文件 到 Agent 上 。 下 面 来 看 一 下 它 的 属性 和 案例 。 


1.file 资 源 常用 属性 及 案例 


以 下 为 file 资 源 的 常用 属性 及 其 介绍 。 


file {' 资 源 标题 ': 


content 
force 
group 
links 
mode 
owner 
source 
target 
selinux ignore default 
selrange 
selrole 
seltype 
seluser 


下 面 简单 分 析 一 下 上 面 属性 的 作 


“ path: 指定 要 管理 的 文件 或 目录 的 路 径 ， 必 须 用 引号 引起 来 (通常 path 也 等 于 资源 的 标题 ) 。 


“ ensute: 可 以 分 别 设置 5 个 值 ， 即 absent、present、file、directory 和 link。 设 置 present 值 表示 匹配 文件 ， 它 会 检查 path 值 中 的 路 径 文件 是 否 存 在 ， 如 果 不 存 在 就 会 创建 新 的 文件 ; 设置 absent 值 表示 删除 path 
值 中 已 经 存在 的 文件 ; 设置 le 表示 创建 文件 ; 设置 directory 表 示 创 建 目录 。 但 如 果 删 除 的 是 目录 的 话 ， 操 作 上 比较 特殊 ， 需 要 额外 增加 force=>true 属 性 和 值 ; 设置 link 值 会 根据 path 路 径 创建 文件 的 软 连 接 ， 
通过 target 属 性 后 接 软 连 接 的 路 径 。 


# 删除 abc 目 录 

file {'/tmp/abc’': 
ensure => absent， 
force => true, 


} 


“ backup: 决定 文件 的 内 容 在 被 修改 前 是 否 进行 备份 。 目 前 Puppet 支 持 两 种 备份 方式 ， 一 种 方式 是 将 文件 备份 在 Agent 上 被 修改 文件 的 目录 中 ， 男 一 种 方式 是 将 源 文件 通过 flebucket 备 份 在 远程 服务 器 
上 。 首 先 看 备份 在 Agent 上 的 方式 ，backup 属 性 的 值 如 果 是 以 “.” 开 头 的 字符 串 的 话 ，Puppet 会 将 变更 文件 备份 在 Agent 源 文件 的 同一 目录 下 ， 备 份 文件 的 扩展 名 就 是 “.” 值 里 面 的 字符 囊 。 如 果 备 份 在 远程 
服务 器 上 ， 需 要 借助 flebucket 资 源 ， 稍 后 会 以 案例 进行 介绍 。 如 果 不 想 做 备份 可 以 设置 backup=>false 值 。 


“ checksum: 检查 文件 内 容 是 否 被 修改 过 ， 通 过 它 可 以 检查 文件 的 一 致 性 。 有 几 种 检查 方式 ， 包 括 md5、mtime 和 ctime 等 ， 默 认 用 md5 进 行 检查 。 


“ content: 可 以 向 文件 中 追加 内 容 或 者 通过 调用 template 函 数 向 ERB 模 板 中 追加 内 容 。ERB 模 板 会 在 第 8 章 详 细 介 绍 。 


# 将 "nameserver:192.168.1.1" 追 加 到 /etc/resolve.conf 文 件 
file {'/etc/resolv.conf': 
content => 'nameserver: 192.168.1.1', 


} 


“ force: 可 以 将 一 个 目录 变 成 一 个 链接 ， 可 用 的 值 是 tutfe、false、yes 和 no， 其 中 true 与 yes 参 数 在 这 里 均 表示 创建 目录 链接 ，false 与 no 参数 均 表 示 不 创建 目录 链接 。 类 似 的 同一 参数 相同 值 的 情况 曾 在 第 4 章 
绍 过 ， 这 里 就 不 再 介绍 。 

“ group: 可 以 指定 该 文件 的 用 户 组 ， 值 可 以 是 组 的 gid 或 系统 组 名 。 

“links: 定义 操作 符合 链接 的 文件 ， 可 以 设置 的 值 是 follow 和 manage。 设 置 follow 值 ， 文 件 复制 时 ， 会 复制 文件 的 内 容 ， 而 不 是 只 复制 符合 链接 本 身 ; 如 果 设置 成 manage 值 ， 则 会 复制 符合 链接 本 身 。 


“ mode: 用 于 设置 文件 的 权限 。 


# 修改 文件 权限 ,将 passwd 值 设置 为 644 
file {'/etc/passwd': 

mode =>'644', 
} 


“ owner: 设置 文件 的 属 主 。 


“source: 指定 源 文件 的 位 置 ， 值 可 以 是 指定 的 远程 文件 的 URIS 或 者 本 地 的 完整 路 径 。 


# 通过 Puppet 数 组 同步 多 文件 
file {'/etc/nfs.conf': 
source => [ 


"puppet:///modules/nfs/conf.Shost"， 
"puppet:///modules/nfs/conf.$operatingsystem", 
"puppet:///modules/nfs/conf" 


“ target: 指定 创建 软 连接 的 目标 。 


file {'/etc/inetd.conf': 
ensure => link, 
target => 'inet/inetd.conf', 


} 


“selinux_ignore_default: SELinux 系 列 功能 ， 实 现 自 定义 SELinux。 


an 


“selrange: SELinux 系 列 功能 ， 定 义 范围 。 
selrole: SELinux 系 列 功能 ， 定 义 角色 。 
“seltype: SELinux 系 列 功能 ， 定 义 类 型 。 


' selusert: SELinux 系 列 功能 ， 定 义 用 户 。 


下 面 将 介绍 两 个 与 file 资 源 相关 的 案例 ， 第 一 个 案例 是 通过 file 资 源 修改 系统 文件 权限 和 属 主 ， 第 二 个 案例 是 通过 file 资 源 从 Master 上 同步 配置 文件 到 Agent 上 的 指定 位 置 。 


案例 1 


通过 file 资 源 修改 系统 上 的 /etc/passwd 和 /etc/shadow 文 件 属性 ， 设 置 它们 的 owner 和 group 的 文件 权限 。 编 辑 /etc/puppet/manifests/file.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


file {'/etc/passwd': 
owner => 'root', 
group => 'root', 
mode => '644', 


} 

file {'/etc/shadow': 
owner => 'root', 
group => 'root', 
mode => '440', 

} 


通过 file 资 源 首先 设置 /etc/passwd 文 件 权限 ， 通 过 设置 标题 为 “/etc/passwd” 的 file 资 源 指定 要 配置 权限 文件 的 位 置 ; 通过 设置 mode 属 性 指定 文件 权限 为 644， 也 就 是 设置 系统 文件 的 user、group 


和 other 权限 ，6 表 示 user (可 读 /执行 ) 、group 和 other 用 户 可 读 ; 设置 它们 的 属 主 分 别 为 root。 然 后 通过 file 资 源 设置 /etc/shadow 文 件 权 限 ， 设 置 file 资 源 标题 为 “/etc/shadow”,， 设置 mode 属 性 指定 
文件 权限 为 440; 设置 它们 的 属 主 分 别 为 root。 设 置 完成 后 通过 puppet apply 命 令 来 进行 测试 ， 过 程 和 结果 如 下 : 


# puppet apply /etc/puppet/manifests/file.pp 
notice: /Stage[lmain]//File[/etc/shadow]/mode: mode changed '644' to '440' 
notice: /Stage[lmain]//File[/etc/passwd]/mode: mode changed '700' to '644"' 
notice: Finished catalog run in 0.01 seconds 


执行 后 Puppet 会 将 执行 结果 显示 在 终端 上 ， 并 告诉 我 们 按照 /etc/puppet/manifests/file.pp 文 件 进行 的 配置 ， 都 对 系统 做 了 哪些 变更 。 从 输出 结果 上 可 以 看 到 ， 文 件 的 权限 都 有 了 变更 ， 细 心 的 读者 可 


能 会 发 现 文件 的 owner 和 group 没 有 变化 。 为 什么 呢 ? 其 实 是 这 样 的 ，Puppet 在 更 改 系统 文件 属性 前 ， 会 对 照 配 置 文件 与 目标 文件 属性 的 差异 ， 并 对 差异 部 分 进行 更 改 ， 因 为 修改 前 的 /etc/passwd 
和 /etc/shadow 文 件 属 性 就 是 root， 所 以 没有 再 次 更 改 。 


案例 2 


此 案例 为 C/S 结 构 ， 在 Master 上 将 Apache 的 httpd.conf 配 置 文件 同步 到 Agent 上 。 在 同步 过 程 中 如 果 Master 上 的 原文 件 与 Agent 上 的 目标 文件 不 一 致 ， 需 要 对 源 文件 进行 备份 后 再 进行 同步 覆盖 。 这 里 


的 备份 方式 在 刚刚 介绍 file 资 源 的 backup 属 性 的 时 候 也 介绍 了 。 这 里 首先 介绍 将 源 文件 备份 在 Agent 上 的 方式 ， 然 后 介绍 将 源 文件 备份 在 Master 上 的 方式 。 在 Master 上 编 
辑 /etc/puppet/manifests/site.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


node default{ 
file {'/etc/httpd/conf/httpd.conf': # Agent 目 标 位 置 
mode => '777',owner => 'httpd',group => 'httpd'， 
backup => '.bak', 
source => "puppet: ///files/httpd/httpd.conf"， # Master 源 文件 位 置 
} 
} 


首先 定义 file 资 源 标题 ， 指 定 httpd.conf 配 置 文件 在 Agent 上 需要 同步 的 目标 位 置 。 然 后 设置 它 的 mode 属 性 为 777， 即 user、group 和 other (可 读 、 可 写 、 可 执行 ) ; 设置 owner 和 group 属 性 均 为 


httpd; 设置 backup 属 性 “.”， 表 示 文 件 同步 文件 时 进行 Agent 本 地 备份 ，bak 为 备份 文件 的 扩展 名 ; 最 后 source 属 性 指定 httpd.conf 配 置 文 件 在 Master 服 务 器 上 的 位 置 。 其 中 puppet:/// 的 挂 载 路 径 由 
Master 上 的 fileserver.conf 文 件 指定 ， 如 图 7-2 所 示 。 其 使 用 了 Puppet 自 带 的 文件 传输 协议 。 


# cat fetc/puppet/fileserver .conf 
[Lfiles] 
path /etc/puppet/files 


~ 


:~ # ls /etc/puppet/files/ihttpd/httpd.conf 
/etc/puppet/filesi/ihttpd/httpd.conf 


allow * 


图 7-2 ”fileservet.conf 配 置 文件 


设置 完成 后 ， 返 回 Agent 服 务 器 ， 通 过 puppet agent 命 令 在 Agent 上 来 测试 它 。 过 程 和 结果 如 下 : 


# puppet agent --server puppet .example.com --test 

info: Caching catalog for puppet agent 

info: Applying configuration version '1383567132' 

--- /etc/httpd/conf/httpd.conf 2011-11-04 20: 09: 56.000000000 +0800 

+++ /tmp/puppet-file20131104-5353-f4gmlx-0 2011-11-04 20: 12: 13.000000000 +0800 


QQ@ -1,4 +1,4 QQ@ 

-# ”变更 前 内 容 

+ ”变更 后 内 容 

# Based upon the NCSA server configuration files originally by Rob McCool. 
# 


# This is the main Apache server configuration file. It contains the 


err: /Stage[main]//Node[default]/File[/etc/httpd/conf/httpd.conf]/content: change from {md5}9a245c811b297elldfc8981318a456f7 to {md5}45bce543a9153016a6aef2d5cb5324be failed: 
notice: Finished catalog run in 1.32 seconds 


Puppet 同 步 配 置 文件 时 ， 如 果 配 置 文件 有 变更 ,会 输出 整个 配置 文件 的 原 内 容 和 变更 内 容 ， 由 于 篇 幅 有 限 ， 笔 者 进行 了 一 定 的 删 减 ， 只 保留 了 重要 的 变更 部 分 。 为 了 演示 结果 ， 笔 者 在 同步 前 修改 了 


Master 上 的 httpd.conf 配 置 文件 内 容 ， 去 掉 了 配置 文件 行 首 的 一 个 “#” ， 从 输出 的 结果 可 以 看 出 ， 如 果 httpd.conf 配 置 文件 有 变更 ，Puppet 会 在 开始 显示 出 变更 部 分 的 内 容 ， 让 我 们 一 目 了 然 它 本 次 变更 
了 什么 。 同 时 根据 我 们 资源 配置 的 backup 属 性 ，Puppet 在 同步 配置 文件 后 ,会 将 变更 前 的 httpd.conf 配 置 文件 在 Agent 的 /etc/httpd/conf/ 目 录 下 进行 备份 ， 备 份 文件 名 就 是 httpd.conf.bak。 


2.filebucket 资 源 及 案例 


filebucket 资 源 主要 用 于 文件 的 备份 与 恢复 ， 它 通常 与 file 资 源 配合 使 用 。 先 来 看 一 下 filebucket 资 源 的 属性 ， 再 来 看 它 的 案例 。 


以 下 为 filebucket 资 源 的 属性 。 


filebucket {' 资 源 标题 ' 
name 
path 
port 
server 


} 


下 面 简单 分 析 一 下 上 面 属性 的 作用 。 


' name: flebucket 的 名 字 。 


“ path: 服务 器 备份 数据 路 径 。 


ott: 备份 服务 器 的 端口 。 
“server: 备份 服务 的 域名 。 


这 里 继续 file 资 源 的 案例 ， 备 份 httpd.conf 配 置 文件 到 远程 Master 服 务 器 上 。 再 次 编辑 /etc/puppet/manifests/site.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


node default{ 
filebucket {'main': 
server =>'puppet .example.com', 
Path =>'/var/lib/puppet/clientbucket/'; 


file {'/etc/httpd/conf/httpd.conf': 
mode =>'777',owner =>'httpd', group =>'httpd', 
backup =>'main', 
source =>'puppet: ///files/httpd/httpd.conf', 
} 

} 


在 filebucket 资 源 中 main 为 资源 的 标题 ; server 属 性 是 远程 备份 服务 器 域名 ; path 属 性 是 远程 服务 器 备份 文件 目录 。 在 刚刚 的 file 资 源 的 基础 上 ， 我 们 只 要 修改 backup 属 性 即 添加 filebucket 资 源 的 
main 标 题 就 可 以 了 。 然 后 再 次 回 到 Agent 执 行 puppet agent 命 令 ， 如 果 httpd.conf 配 置 文件 有 变更 ，Puppet 就 会 在 Master 指 定 目 录 中 将 源 文件 备份 一 份 。 


7.2.2 ”host 资源 


host 资 源 主要 用 来 管理 操作 系统 的 hosts 功 能 ，hosts 是 一 个 没有 扩展 名 的 系统 文件 ， 基 本 作用 就 是 将 一 些 常用 的 域名 与 其 对 应 的 IP 地 址 建立 一 个 关联 “数据 库 ”。 当 用 户 在 浏览 器 中 输入 一 个 需要 登录 
的 网 址 时 ， 系 统 会 首先 自动 从 hosts 文 件 中 寻找 对 应 的 |P 地 址 ， 一 旦 找到 ， 系 统 会 立即 打开 对 应 网 页 ; 如 果 没 有 找到 ， 系 统 会 将 网 址 提交 到 DNS 域名 解析 服务 器 进行 |P 地 址 的 解析 。 在 UNIX/Linux 系 列 系统 
中 ， 大 多 数 默 认 hosts 功 能 的 配置 文件 都 存放 在 /etc/hosts 文 件 中 ， 但 部 分 系统 的 hosts 功 能 配置 文件 也 有 差异 ， 如 苹果 系列 的 系统 对 于 这 种 操作 系统 有 不 同 的 解决 方案 ， 这 里 不 做 过 多 介绍 。 下 面 来 看 一 下 
host 资 源 的 属性 和 案例 。 


1.host 资 源 常用 属性 


以 下 为 host 资 源 的 常用 属性 。 


host { ' 资 源 标题 ': 
host aliases 
ensure 

ip 

name 

qtarget 

} 


下 面 简单 分 析 一 下 上 面 属性 的 作用 。 


.host_aliases: 主机 能 有 任意 别名 。 多 个 值 需要 指定 为 一 个 数组 。 


# 创建 puppet .example.com 的 别名 ["web" "db"] 


host { 'Puppet .example.com' : 
ip => '192.168.7.7', 
host aliases => [ "web", "db" ]， 


ensure => present, 


ensure; 确定 该 主机 是 否 启用 ， 值 为 present 即 启用 ， 值 为 absent 即 关闭 。 
:ip: 主机 的 JP 地址 ， 目 前 支持 IPv4 和 IPv6 两 个 版 本 。 
name; 主机 名 。 


“ target: 指定 自 定义 host 文 件 的 位 置 。 


2.host 资 源 案例 


通过 host 资 源 设置 UNIX/Linux 系 统 的 hosts 功 能 ， 编 辑 /etc/puppet/manifests/hosts.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


host { 'test.host.com': 
ensure => present, 
ip => '192.168.1.1', 
} 


设置 host 资 源 标题 指定 测试 域名 为 test.host.com; 设置 ip 属 性 为 192.168.1.1， 此 IP 为 标准 的 IPv4 版 本 ， 也 可 以 设置 IPv6 版 本 地 址 ; 设置 ensure 属 性 的 值 为 present， 表 示 增 加 hosts 功 能 ， 反 之 设置 
absent 属 性 表示 删除 此 功能 。 设 置 完成 后 通过 puppet apply 命 令 来 测试 它 ， 过 程 和 结果 如 下 : 


# puppet apply /etc/puppet/manifests/hosts.pp 
notice: /Stage[main]//Host[test.host.com]/ensure: created 
notice: Finished catalog run in 0.01 seconds 


通过 输出 结果 ， 可 以 看 到 Puppet 已 经 添加 了 test.host.com 域 名 和 其 对 应 的 IP 到 系统 的 hosts 功 能 中 ， 这 时 再 系统 访问 test.host.com 域 名 时 ， 系 统 会 优先 读 取 /etc/hosts 文 件 ， 将 域名 解析 为 相应 的 |P。 
增加 完成 后 也 可 以 通过 ping 命 令 测试 域名 解析 结果 如 图 7-3 所 示 。 或 通过 系统 提供 的 cat 命 令 查看 /etc/hosts 文 件 ， 来 确认 它 是 否 已 经 被 成 功 设置 。 


i /ctc/puppet /manifests # ping test.host.com 


PING test.host.com (192.168.1.1) 56(84) bytes of data. 


图 7-3 ”通过 ping 命 令 测 试 结果 


注意 ， 如 果 测 试 test.host.com 解 析 失 败 ， 很 有 可 能 是 host.conf 配 置 问题 导致 。host.conf 配 置 文件 的 作用 是 设置 host 与 bind 的 解析 顺序 ， 可 以 通过 追加 设置 解析 顺序 的 方式 来 解决 遇 到 的 问题 。 解 析 顺 
序 设置 如 下 : 


echo " order hosts,bind " >> /etc/host.conf 


7.2.3 ”user 资 源 


User 资 源 主要 用 来 管理 操作 系统 的 账号 ， 如 账号 的 增加 /删除 、 账 号 uid/gid 的 管理 、shell 的 解析 器 、 宿 主 目录 的 设置 和 账户 密码 的 设置 等 。 下 面 来 看 一 下 它 的 属性 和 案例 。 


1.user 资 源 常用 属性 


以 下 为 user 资 源 的 常用 属性 。 


user { “资源 标题 ': 

name 

ensure 

allowdupe 

comment 

uid 

gid 

groups 

home 

managehome 

manages expiry 

password 
manages_password max age 
manages_password min age 
shell 

provider 


下 面 简单 分 析 上 面 属性 的 作用 。 
“ name: 创建 的 系统 账户 名 ， 这 里 建议 账户 名 长 度 小 于 8， 并 以 字母 开头 。 
“ensure: 设置 账户 的 增加 和 删除 ， 可 以 设置 为 present 值 表示 增加 账户 ， 设 置 为 absent 值 表示 删除 账户 。 
“ allowdupe: 是 否 允许 系统 存在 同样 账户 的 uid， 可 以 设置 亿 se 表 示 不 可 以 设置 相同 uid， 设 置 trtue 表 示 可 以 设置 相同 uid。 上 默认 值 为 从 se。 
:comment: 对 该 账户 的 描述 ， 通 常 可 以 填写 账户 的 全 名 。 
“ uid: 系统 账户 的 uid 必 须 设置 成 数字 ， 如 果 不 设置 此 属性 系统 将 会 自动 分 配 账户 。 
“ gid: 系统 账户 的 gid 可 以 用 数字 或 者 组 名 字 。 
“ groupbs: 指定 该 系统 账户 属于 哪些 组 的 成 员 ， 主 组 不 必 在 这 里 列 出 ， 多 个 组 用 数组 列 出 ， 如 [gorup1'，'group21]。 
“ home: 系统 账户 的 宿主 目录 。 注 意 ， 这 个 目录 需要 提前 通过 mkdir 系 统 命令 创建 。 
` managehome: 管理 用 户 的 时 候 是 否 管理 用 户 的 home 目 录 ， 可 以 设置 的 值 是 true、false、yes 和 no， 默 认 值 为 false。 
“manage_expity: 管理 用 户 的 过 期 时 间 。 
“ password: 系统 账户 的 密码 ， 具 体 用 什么 加 密 方式 由 操作 系统 决定 ， 需 manages_passwords 特 性 ， 如 果 密 码 里 面 带 有 $ 符 合 ， 需 要 用 单 引 号 引起 来 。 
.manage_password_max_age: 设置 密码 的 过 期 期 限 ， 此 属性 为 修改 密码 的 最 大 时 间 。 
. manage_password_min_age: 设置 密码 的 过 其 期限， 此 属性 为 修改 密码 的 最 小 时 间 。 
“shell: 用 户 的 shell， 即 指定 用 户 的 命令 解析 器 。 


“ Provider: aix (AIX 系 统 用 户 管理 ) 、dirctoryservice (Mac OS X 系 统 用 户 管理 ) 、hpuxuseradd (HP 系统 用 户 管理 ) 、ldap (LDAP 用 户 管理 ) 、pw (FreeBSD 用 户 管理 ) 、user_role_add (Solaris 系 统 用户 
管理 ) 、useradd (RedHat 系 列 系 统 用 户 管理 ) 和 windows_adsi (Windows 系 列 用 户 管理 ) 。 


2.user 资 源 案例 


通过 user 资 源 在 UNIX/Linux 系 统 上 增加 test 账 户 ， 并 设置 uid/gid、 宿 主 目录 、 账 户 密码 和 shell 解 析 器 。 在 创建 系统 账户 前 需要 做 一 些 准 备 ， 首 先 通 过 命令 来 生成 一 个 加 密 的 密码 ， 以 RedHat 为 例 ， 系 
统 账户 默认 将 加 密 的 密码 存放 在 /etc/shadow 文 件 中 ， 可 以 通过 系统 命令 openss| passwd-1 来 生成 加 密 的 密码 。 如 果 此 命令 不 存在 ， 可 以 通过 yum-y install openssl* 来 安装 命令 所 在 的 软件 包 ， 在 系统 终 


端 键入 openssl passwd-1 命 令 和 参数 时 ， 系 统 会 提示 输入 密码 ， 这 里 可 以 输入 设置 的 账户 密码 ， 经 过 两 次 输入 确认 后 ， 密 码 会 以 加 密 的 形式 显示 在 终端 上 。 


体 如 下 : 


# openssl passwd -1 

Password: 

Retype password: 

$1$d6xCR1$Lj .RK/KiP76v02wdDs25n. 


继续 编辑 /etc/puppet/manifests/user.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


user {'test': 
uid =>'501', 
gid =>'501', 
home =>'/home/test', 
password =>'$1$d6xCR1S$L]j .RK/KiP76v02wdDs25n.', # openssl 命 令 生成 的 加 密 密 码 
shell =>'/bin/bash'; 


加 注意 “password 属 性 的 值 用 来 设置 账户 的 密码 ， 通 常用 单 引号 (“”) 将 加 密 引 起 来 ， 因 为 值 包 含 一 些 特殊 符号 ， 如果 用 (“”) 会 导致 一 些 错误 的 发 生 。 


user.pp 文 件 中 内 容 如 下 : 首先 调用 user 资 源 创建 test 账 户 ， 设 置 标题 为 要 创建 的 账户 名 ; 设置 uid/gid 属 性 分 别 为 501， 表 示 uid 号 与 gid 号 ; 设置 home 
目录 路 径 ; 设置 password 属 性 的 账户 密码 为 刚刚 通过 openssl 命 令 生 成 后 的 加 密 密 码 ， 切 记 要 用 ( “ ); 设置 shell 的 解析 器 为 /bin/bash。 


这 里 读者 需要 了 解 Puppet 的 工作 原理 ， 以 上 操作 并 不 会 真正 编辑 操作 系统 的 /etc/passwd 和 /etc/shadow 文 件 来 增加 账户 和 其 属性 ， 只 会 利用 操作 系统 的 POSIX API (中 文 译 为 “标准 的 接口 ” 


过 系统 命令 ) 帮 有 我 们 创建 账户 ， 以 RedHat 为 例 ， 会 使 用 useradd 命 令 。 所 以 useradd 命 令 并 不 会 帮 有 我 们 创建 账户 的 宿主 目录 ， 需 要 在 通过 user 资 源 创建 好 账 
目录 ， 这 里 可 以 将 user 资 源 和 file 资 源 写 到 同一 个 文件 中 来 执行 。 创 建 账户 宿主 目录 ， 继 续 编辑 /etc/puppet/manifests/user.pp 文 件 ， 将 以 下 内 容 追 加 到 文 


file {'/home/test': 

ensure => directory, 

group => '501', 
owner => '501', 
mode => '700', 

} 


户 后 ， 再 次 调用 file 资 源 来 帮 有 我 们 创建 账户 的 宿 3 


属性 宿主 目录 为 /homey/test， 表 示 指 定 用 户 的 根 


， 即 通 


件 中 。 


file 资 源 设置 账户 的 宿主 目录 ; 设置 group 和 owner 属 性 为 501; mode 属 性 为 700， 即 user (可 读 、 可 写 、 可 执行 ) ，group 和 other 没有 任何 权限 ; 最 后 设置 ensure 


目录 。 设 置 完 成 后 通过 puppet apply 命 令 来 进行 测试 ， 过 程 和 结果 如 下 : 


属性 为 directory， 指 定 它 创建 的 为 


# puppet apply /etc/puppet/manifests/user.pp 
notice: /Stage[lmain]//File[/home/test]/ensure: created 
notice: Finished catalog run in 0.03 seconds 


创建 test 账 户 后 ， 可 以 通过 查看 /etc/passwd 和 /etc/shadow 两 个 文件 的 内 容 ， 确 认 test 账 户 是 否 已 经 被 成 功 添加 。 


7.2.4 _ group 资源 


下 面 来 看 一 下 它 的 属性 和 案例 。 


既然 有 管理 系统 账号 的 资源 ， 自 然 也 就 有 管理 系统 组 的 资源 。group 资 源 的 主要 功能 是 管理 系统 组 ， 包 含 组 的 名 字 、 增 减 /删除 组 、 组 成 员 、 组 的 gid 等 。 


1.group 资 源 常用 属性 


以 下 为 group 资 源 的 常用 属性 。 


group{ ' 资 源 标题 ': 
allowdupe 
ensure 
gid 
members 
name 
allowdupe 
Provider 


下 面 简单 分 析 一 下 上 面 属性 的 作用 。 


:alowdupe: 是 否 允 许 系统 存在 同样 账户 的 gd (此 属性 不 能 在 freebsd 上 面 使 用 ) ， 可 以 设置 false 表 示 不 可 以 设置 相同 uid; 设置 true 表 示 可 以 设置 相同 uid。 默 认 值 为 false。 


: ensure: 创建 或 者 删除 组 ， 设 置 absent 为 删除 组 ， 设 置 present 为 创建 组 。 

:gid: 设置 组 的 gd， 必须 是 数字 ， 如 果 不 指 定 ， 将 自动 分 配 ， 不 同 的 系统 自动 分 配 的 算法 不 一 样 ， 不 推荐 使 用 自动 分 配 gid。 
:members: 该 组 的 成 员 。 

'" name: 该 用 户 组 的 名 字 ， 默 认 与 标题 相同 。 


'“ allowdupe: 准许 使 用 相同 的 gid， 上 默认 为 false。 


“ provider: aix (AIX 系 统 组 管理 ) 、dirctoryservice (Mac OS 又 系统 组 管理 ) 、ldap (LDAP 组 管理 ) 、groupadd (RedHat 系 列 组 管理 ) 、pw (FreeBSD 组 管理 ) 和 windows_adsi (Windows 系 列 组 管理 ) 。 


2.9group 资 源 案例 


通过 group 资 源 在 UNIX/Linux 系 统 上 增加 test 组 ， 增 加 组 后 再 测试 一 下 如 何 删 除 此 组 。 编 辑 /etc/puppet/manifest/group.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


group {'test': 
ensure => present, 
gid => '107', 


通过 group 资 源 指定 增加 组 的 名 字 为 test; 设置 gid 属性 为 107; 设置 ensure 属 性 为 present， 表 示 增 加 组 。 设 置 完成 后 通过 puppet apply 命 令 来 进行 测试 ， 过 程 和 结果 如 下 : 


# puppet /etc/puppet/manifests/group.pp 
notice: /Stage[main]//Group[test]/ensure: created 
notice: Finished catalog run in 0.04 seconds 


Puppet 输 出 结果 显示 ， 已 经 成 功 地 创建 了 test 组 。 可 以 查看 /etc/group 文 件 确认 test 组 是 否 已 经 被 创建 成 功 。 创 建成 功 后 再 来 看 一 下 如 何 删 除 test 组 ， 这 个 很 简单 ， 只 要 将 ensure 属 性 的 值 改 为 absent 
就 可 以 了 ， 这 里 就 不 进行 案例 演示 了 ， 读 者 可 以 自己 测试 一 下 。 


7.2.5 package 资源 


package 资 源 可 以 借助 本 地 包 管 理 系统 帮 我 们 安装 软件 ， 也 可 以 通过 参数 指定 软件 包 来 安装 。 下 面 来 看 一 下 它 的 属性 、 特 性 与 案例 。 


1.package 资 源 常用 属性 


以 下 为 host 资 源 的 常用 属性 。 


Package{ ' 资 源 标题 ': 
allowcdrom 
description 
ensure 
provider 
source 


下 面 简单 分 析 一 下 上 面 属性 的 作 


“ allowcdrom: 通知 apt 允 许 使 用 cdrom 作 为 软件 源 ， 可 以 设置 成 false 或 者 true。 
“ description: 描述 软件 包 ， 软 件 包 设置 的 一 个 只 读 属性 。 


"ensure: 设置 软件 包 的 安装 状态 。installed 值 或 present 值 均 表 示 已 安装 软件 包 ， 其 最 终结 果 是 一 致 的 ; absent 值 表示 印 载 软件 包 ; pureged 值 表示 移 除 软件 包 ; latest 表 示 安 装 软 件 包 的 最 新 版 本 (建议 慎 用 
此 值 。 以 PHP 安 装 为 例 ，latest 会 根据 PHP 的 版 本 安装 最 新 的 软件 包 ， 而 不 同 的 PHP 版 本 之 间 会 有 一 些 细微 的 差异 ， 不 经 测试 直接 安装 最 新 的 软件 包 会 导致 服务 异常 或 不 可 用 ) ; 建议 直接 写 安装 软件 的 版 本 
号 方式 ， 如 PHP 的 版 本 号 为 5.4.29， 可 以 写 为 ensure=>"5.4.29"。 


“ brovider: 不 同 的 操作 系统 平台 有 着 相对 独立 的 包 管理 系统 或 者 叫 包 管理 器 (下 称 包 管理 系统 ) ， 如 RedHat 使 用 的 是 yum 包 管理 系统 ，uBuntu 使 用 的 是 apt 包 管理 系统 。 目 前 package 资 源 还 支持 aix、 
appdmg、 apple、apt、dpkg、fink、freebsd、gem、hpux、macports、msi、nim、openbsd、opkg、ports、rtpm、rug、windows、 yum 和 zyppet 等 包 管 理 系统 和 工具 。 


“source: 指定 软件 包 的 安装 源 ， 如 tpm 包 的 URL 地 址 或 本 地 路 径 等 。 
2.package 资 源 特性 
下 面 简单 分 析 一 下 package 资 源 的 特性 。 
“ holdable: 保持 现状 ， 不 自动 更 新 软件 包 及 依赖 关系 。 


"install_options: 个 性 化 安装 软件 包 ， 用 于 安装 时 传递 相关 命令 。 


package { 'mysql': 
ensure => installed, 
source => 'N:/packages/mysql-5.5.16-winx64.msi', 
install options => [ '/S', { 'INSTALLDIR' => 'C:\mysql-5.5' } ]， 


“ installable: 安装 软件 包 。 
“ purgeable: 清理 相关 软件 包 ， 清 理 内 容 包含 软件 包 目录 配置 文件 等 。 


“ uninstall_options: 趣 载 软件 包 ， 指 定 却 载 软 件 包 的 相关 参数 。 


Package { 'VMware Tools': 

ensure => absent, 

uninstall options => [ { 'REMOVE' => 'Sync,Vss' } ]， 
} 


uninstallable: 孝 载 软件 包 。 
upgradeable: 升级 软件 包 。 
“ versionable: 指定 软件 包 版 本 安装 。 


目前 这 8 个 特性 在 不 同 的 系统 平台 的 支持 情况 是 不 一 样 的 ， 由 于 package 资 源 的 Provider 比 较 多 ， 这 里 只 介绍 常用 的 Provider 对 以 上 特性 的 支持 状况 ， 并 排除 install_options 和 uninstall_optionst 两 个 特 
性 ， 因 为 它们 支持 的 Provider 比 较 有 限 。 特 性 支持 状况 如 表 7-1 所 示 ， 其 中 Y 表 示 支 持 ，N 表 示 不 支持 。 关 于 package 资 源 更 多 的 Provider 的 情况 请 参考 官方 网 
站 http://docs.puppetlabs.com/references/latest/type.html#package。 


表 7-1 “package 特 性 与 系统 平台 支持 状况 


Provider 
Yum 

Apt 

Gem 

Msi 

Rpm 


Windows 


3.package 资 源 案 例 


来 看 package 资 源 的 两 个 案例 ， 案 例 1 介 绍 如 何 通过 package 资 源 安装 本 机 的 RPM 软件 包 ， 案 例 2 介绍 如 何 通过 网 络 来 批量 安装 软件 包 。 


案例 1 


通过 package 资 源 安 装 Nginx 的 RPM 软件 包 的 流程 如 下 : 首先 下 载 Nginx 的 RPM 软件 包 到 指定 的 目录 (如 /tmp/ 目 录 ) 。 读 者 可 以 在 网 上 自行 找 一 下 Nginx 的 RPM 软件 包 ， 由 于 不 是 重点 这 里 不 作 介 
绍 。 编 辑 /etc/puppet/manifests/package.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


package { 'nginx': 
ensure => installed, 
source => '/tmp/nginx-1.2.2-2.x86 _ 64.rpm', 
provider => 'rpm', 加 


} 


设置 package 资 源 的 标题 为 nginx， 如 果 不 指定 路 径 安 装 的 话 ，package 资 源 会 根据 这 一 标题 通过 本 机 的 包 管理 工具 进行 安装 。 由 于 这 里 设置 了 source 属 性 ， 所 以 标题 只 起 到 了 标识 的 作用 ; 设置 
ensure 属 性 为 installed 表 示 软 件 包 的 状态 为 安装 ; 设置 source 属 性 指定 Nginx 的 RPM 软件 包 在 本 机 的 位 置 ; 设置 provider 属 性 为 RPM ， 也 就 是 指定 Nginx 软 件 包 以 RPM 的 方式 安装 。 设 置 完成 后 通过 
puppet apply 命 令 来 测试 它 ， 过 程 和 结果 如 下 : 


# puppet apply /etc/puppet/manifests/package.pp 
notice: /Stage[main]//Package[nginx]/ensure: created 
notice: Finished catalog run in 0.52 seconds 


通过 Puppet 输 出 可 以 看 到 ， 已 经 成 功 地 安装 了 Nginx 软 件 包 。 还 可 以 通过 RPM 命令 来 检查 Nginx 软 件 是 否 安装 成 功 。 


# rpm -qa | grep nginx 
nginx-12.2-2 


案例 2 


如 果 安 装 的 软件 比较 多 ， 推 荐 使 用 Puppet 提 供 的 数组 功能 来 安装 。 如 果 机 器 可 以 访问 互联 网 可 以 不 指定 source 属 性 ，Puppet 默 认 通 过 本 机 的 包 管理 工具 从 互联 网 上 安装 。package 资 源 会 从 互联 网 依 
次 下 载 并 安装 其 内 容 。 通 过 Puppet 数 组 批量 安装 autoconf、bison、curl、libreadline-dev、subversion 和 和 lzlib1g-dve 软 件 包 ,编辑 /etc/puppet/manifests/package.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 
中 。 


Package { [ "autoconf", 
"libreadline-dev", 
"subversion", 
"zliblg-dev" ]: 
ensure => installed, 


Puppet 会 利用 系统 自 带 的 包 管理 系统 ， 并 根据 ensure 属 性 定义 的 安装 状态 ， 从 网 上 进行 依次 下 载 并 安装 。 注 意 ， 安 装 前 应 先 确认 网 络 是 否 可 用 。 


7.2.6 service 资源 


通过 service 资 源 不 但 可 以 启动 、 重 启 和 关闭 程序 的 守护 进程 ， 监 控 进 程 状态 ， 还 可 以 将 守护 进程 加 入 自动 启动 中 。 首 先 来 看 一 下 它 的 属性 和 特性 。 


1.service 资 源 常用 属性 


以 下 为 service 资 源 的 常用 属性 。 


service { “' 资 源 标题 ': 
binary 
enable 
ensure 
hasrestart 
hasstatus 
name 
path 
Pattern 
restart 
start 
status 
stop 
provider 


下 面 简单 分 析 一 下 上 面 属性 的 作用 。 


“binary: 指定 二 进 制 程序 的 系统 路 径 ， 用 于 那些 不 支持 init 的 操作 系统 。 如 果 守 护 进程 没有 自 启 动 脚本 ， 可 以 通过 此 属性 启动 服务 。 
* enable: 指定 服务 在 开机 的 时 候 是 否 启 动 ， 可 以 设置 true 值 和 false 值 。 


“ ensure: 是 否 运行 服务 ，running 值 表示 运行 服务 ，stopped 值 表示 停止 服务 。 


“ hasrestart; 指出 管理 脚本 是 否 支持 restart 值 ， 如 果 不 支持 ， 就 用 stop 值 和 start 值 实现 restart 效 果 。 可 以 设置 的 值 是 true 或 false。 


“ hasstatus; 指出 管理 脚本 是 否 支持 status 值 。Puppet 用 status 值 来 判断 服务 是 否 已 经 在 运行 ， 如 果 系 统 不 支持 status 值 ，Puppet 可 以 利用 查找 运行 进程 列表 里 面 是 否 有 服务 名 来 判断 服务 是 否 在 运行 。 可 以 


设置 的 值 是 true 或 false。 
“ name: 守护 进程 服务 的 名 字 ， 如 果 忘 记 守护 进程 的 名 字 可 以 在 /etcy/init.d/ 目 录 下 找到 他 们 。 
“ path: 启动 脚本 的 搜索 路 径 ， 可 以 用 冒号 分 隔 多 个 路 径 ， 或 者 用 数组 指定 。 
“ pattern: 设置 匹配 进程 的 字符 串 ， 当 服务 停止 时 ， 通 过 进程 列表 来 判断 服务 的 状态 ， 主 要 用 于 不 支持 init 脚 本 的 系统 。 
“restart; 指定 用 于 重启 服务 的 脚本 ， 否 则 只 能 手动 先 停止 该 服务 再 启动 该 服务 。 
“ start: 指定 启动 服务 的 命令 ， 通 常 init 模 式 的 管理 脚本 都 支持 ， 不 需要 手工 指定 。 
“status: 指定 status 命 令 ， 如 果 不 指定 ， 就 从 进程 列表 查询 该 服务 。 


“ stop: 指定 停止 服务 的 脚本 。 


' ptrovider: Debian 系 统 支 持 init 模 式 的 管理 脚本 ， 支 持 enableable 与 tefreshable 特 性 ; FreeBSD 系 统 支持 init 模 式 的 管理 脚本 ， 支 持 enableable 与 refreshable 特 性 ; init 标 准 的 init 模 式 支持 refreshable; RedHat 系 统 


支持 init 模 式 的 管理 脚本 ， 支 持 enableable 和 refreshable 特 性 ; smf solaris 支 持 新 的 服务 管理 框架 ， 支 持 enableable 和 refreshable 特 性 。 


service {'myservice': 
provider =>'daemontools', 
path =>'/path/to/daemons', 
} 


2.service 资 源 特性 


下 面 简单 分 析 一 下 service 资 源 的 特性 。 


“ enableable: 启动 或 停止 服务 。 


' refreshable: 重启 服务 。 


不 同 的 操作 系统 对 service 资 源 特 性 的 支持 是 不 同 的 ， 不 同 的 操作 系统 对 service 资 源 两 个 特性 的 支持 状况 如 表 7-2 所 示 ， 其 中 Y 表 示 支 持 ，N 表 示 不 支持 。 关 于 
网 站 http://docs.puppetlabs.com/references/latest/type.html#service。 


表 7-2 ”service 特 性 与 系统 平台 支持 状况 


service 资 源 更 多 的 Provider 状 况 请 参考 官方 


Provider enableable Refreshable 


pe 


daemontools 
deblan 


treebsd 


本 


gentoo 
1n1t 


redhat 


-| 


Windows 


3.service 资 源 案例 


service 资 源 是 负责 机 器 上 进程 状态 的 资源 ， 下 面 就 以 vsftpd 守 护 进程 为 例 来 演示 一 下 其 常用 的 启动 /关闭 功能 和 开机 自 启动 /关闭 等 功能 。 


(1) 启动 vsftpd 守 护 进 程 


通过 service 资 源 启动 vsftpd 的 守护 进程 ， 其 中 service 的 标题 内 容 需 要 在 /etc/init.d/ 中 存在 。 


service { 'vsftpd': 
ensure => running, 


3 
人 
守 


(2) 关闭 vsftpd 守 护 进程 


通过 service 资 源 关闭 vsftpd 进 程 。 


service { 'vsftpd': 
ensure => stopped, 


} 


(3) 开机 自 启动 进程 


可 以 编辑 UNIX/Linux 系 统 的 启动 文件 ， 将 vsftpd 守 护 进程 放 入 系统 自 启动 文件 。 另 外 也 可 以 通过 service 资 源 实现 开机 自 启动 vsftpd 功 能 。 


service { 'vsftpd': 
ensure => true, 


} 


(4) 关闭 开机 自 启动 进程 


关闭 vsftpd 守 护 进 程 开 机 自 启 动 。 


service { 'vsftpd'": 
ensure => false, 


i 


7.2.7” exec 资源 


exec 资 源 的 功能 是 调用 UNIX/Linux 系 统 命令 ， 完 成 系统 管理 的 基础 操作 。 下 面 来 看 一 下 它 的 属性 和 案例 。 


1. exec 资源 常用 属性 


以 下 为 exec 资 源 的 常用 属性 。 


exec { ' 资 源 标题 ': 
command 
creates 
cwd 
environment 
group 
logoutput 
onlyif 
path 
refresh 
refreshonly 
returns 
timeout 
tries 
try_sleep 
user 
provider 


下 面 简单 分 析 一 下 上 面 属性 的 作用 。 


“command; 指定 要 执行 的 系统 命令 。 


“creates: 此 参数 会 创建 一 个 临时 文件 ， 当 此 临时 文件 不 存在 时 exec 调 用 系统 命令 才 会 执行 成 功 ， 防 止 出 现 同一 时 刻 多 次 执行 的 情况 。 


exec { 'tar -xf /Volumes/nfs02/important.tar': 
cwd => '/var/tmp', 
creates => '/var/tmp/myfile', 
path => ["/usr/bin", "/usr/sbin"] 

} 


“ cwd: 系统 命令 执行 的 路 径 ， 如 果 指定 的 目录 不 存在 ， 命 令 执行 将 会 失败 。 
:environment: 添加 系统 命令 的 附加 环境 变量 ， 也 可 以 加 入 自己 的 path 环 境 变量 来 覆盖 系统 的 环境 变量 。 添 加 多 个 环境 变量 需要 使 用 数组 指定 。 
" group: 执行 命令 运行 的 账户 组 。 


:logoutput: 决定 是 否 记录 输出 日 志 信息 。 默 认 会 根据 exec 资 源 的 日 志 等 级 来 记录 输出 信息 ， 使 用 on_failure 时 只 有 命令 执行 有 误 的 情况 下 才 会 记录 输出 信息 。 值 可 以 为 tue、false、on_failure 和 任何 合法 
的 日 志 等 级 。 


: onlyif: 只 有 onlyif 指 定 命令 执行 返回 结果 为 0 的 时 候 ， 命 令 才 会 执行 。 


exec { 'logrotate': 

path => '/usr/bin:/usr/sbin:/bin', 

onlyif => "test ‘du /var/log/messages | cut -fl1” -gt 100000" 
} 


“ path: 命令 执行 搜索 的 路 径 。 如 果 没 有 指定 path 环 境 变 量 ， 系 统 命令 需要 填写 完整 的 路 径 。 
“ tefresh: 刷新 命令 执行 状态 。 


' tefreshonly: 作为 一 个 更 新 机 制 ， 当 依赖 的 对 象 改变 时 命令 才 会 执行 。 当 下 发 的 aliasses 配 置 文件 发 生变 更 时 ，exec 资 源 通过 subscribe 和 refreshonly 监 听 到 依赖 文件 的 状态 ， 则 和 触发 exec 资 源 的 执行 。 


# 下 发 aliases 文 件 
file { '/etc/aliases': 
source => 'puppet://server/module/aliases' 


} 

# 当 /etc/aliases 文 件 变化 后 ,重建 数据 库 

exec { 'newaliases': 
path => ["/usr/bin", "/usr/sbin"], 
subscribe => File["/etc/aliases"], 
refreshonly => true, } 


“ returns: 指定 预期 的 返回 代码 ， 如 果 执 行 的 命令 返回 其 他 的 代码 将 会 出 现 错误 。 黑 认 是 0， 可 以 指定 一 个 单一 的 值 也 可 以 指定 一 个 包含 多 个 值 的 数组 。 

“ timeout; 指定 命令 运行 的 超时 时 间 ， 单 位 为 秒 ， 如 果 命令 执行 的 时 间 超 过 了 timeout 设 定 的 时 间 ， 就 会 认为 命令 执行 失败 并 且 会 停止 该 命令 。 设 置 为 0 表示 没有 超时 的 限制 。 
“ tties: 命令 执行 重 试 次 数 ， 默 认为 1。 设 置 这 个 值 之 后 命令 会 重 试 设置 的 次 数 直到 正确 的 代码 返回 。 

“ try_sleep: 设置 命令 重 试 的 间隔 时 间 ， 单 位 是 秒 。 

“user; 指定 执行 命令 的 账户 。 


: provider: 目前 支持 POSIX 标 准 、Shell 和 Windows。 


2.exec 资 源 案 例 


exec 资 源 可 以 调用 系统 命令 ， 对 操作 系统 做 一 些 基本 的 操作 。 来 看 以 下 案例 ， 首 先 通过 exec 资 源 以 Puppet 账 户 身份 来 解压 soft.tar.gz 文 件 。 为 了 测试 exec 资 源 的 使 用 方法 ， 可 以 通过 tar 命 令 自 行 模拟 
一 个 压缩 文件 ， 将 它 放 置 在 /etc/puppet/manifests/soft.tar.gz。 编 辑 /etc/puppet/manifests/exec.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


exec { 'test': 
path => ["/usr/bin","/bin"], 
creates =>'/tmp/lock', 
user => 'puppet', 
group => 'puppet', 
timeout => '3', 
command => 'tar -xzf /etc/puppet/manifests/soft.tar.gz'; 


path 属 性 主要 是 设置 系统 命令 的 环境 变量 ， 这 里 也 可 以 通过 在 command 属 性 中 调用 系统 绝对 路 径 的 形式 忽略 设置 path 属 性 ;creates 属 性 设置 lock 锁 文件 ， 锁 文件 不 存在 时 exec 资 源 才能 执行 成 功 ; 
user 和 group 设 置 命 令 执 行 时 的 账户 身份 ，timeout 属 性 设置 exec 资 源 的 超时 时 间 ， 通 常用 来 解决 命令 假死 情况 ，command 调 用 系统 tar 命 令 接 压 缩 soft.tar.gz 文 件 。 设 置 完成 后 通过 puppet apply 命 令 来 
进行 测试 ， 过 程 和 结果 如 下 : 


# puppet apply /etc/puppet/manifests/exec.pp 
notice: /Stage [main]//Exec[test]/returns: executed successfully 
notice: Finished catalog run in 0.14 seconds 


执行 完成 后 可 以 到 /etc/puppet/manifests/ 目 录 确认 一 下 soft.tar.gz 压 缩 文件 是 否 已 经 被 解压 成 功 。 


7.2.8 ” cron 资源 


cron 资 源 主要 用 来 管理 操作 系统 的 定时 任务 ( 即 crontab) 。 下 面 来 看 一 下 它 的 属性 和 案例 。 


1.cron 资 源 常用 属性 


以 下 为 cron 资 源 的 常用 属性 。 


cron{ ' 资 源 标题 ': 
command 
ensure 
environment 
hour 
minute 
month 
monthday 
weekday 


下 面 简单 分 析 一 下 上 面 属性 的 作 


“ command: ctontab 要 执行 的 命令 ， 由 于 环境 变量 的 问题 ， 建 议 调用 命令 时 使 用 绝对 路 径 ， 或 指定 cron 资 源 的 enviroment 属 性 。 
“ ensute: 指定 该 资源 是 否 启用 ， 可 设置 prfesent 值 表示 启用 ， 设 置 absent 值 表示 关闭 。 默 认为 present 值 。 


. environment: 在 crontab 环 境 里 面 指定 环境 变量 ， 如 PATH=/bin: /usr/bin: /usr/sbin。 也 可 以 通过 “: ”导入 更 多 的 环境 变量 。 
“ hour: 运行 crontab 的 小 时 ， 可 设置 成 0~23， 单 位 是 小 时 。 

“ minute: 运行 crontab 的 分 钟 ， 可 设置 成 0~59， 单 位 是 分 钟 。 

month: 设置 crontab 运 行 的 月 份 ， 可 设置 成 1~12， 单 位 是 月 。 

: monthday: 一 个 月 份 中 的 哪 一 天 ， 可 设置 成 1~31， 单 位 是 日 。 

“ Weekday: 运行 crontab 的 星期 数 ， 可 设置 成 0~7， 单 位 是 天 。 

name: crontab 的 注释 ， 注 释 用 于 帮助 管理 员 区 分 不 同 的 crontab。 

“ provider: 默认 值 为 系统 自 带 的 crontab 程 序 。 通 常 不 需要 指定 此 参数 值 ，Puppet 会 默认 匹配 系统 自 带 的 定时 管理 任务 程序 。 


“ user: 将 crontab 加 入 某 一 个 系统 账号 中 ， 上 默认 是 加 入 执行 守护 进程 的 系统 账户 中 。 


2.cron 资 源 案例 


通过 cron 资 源 设置 每 5 分 钟 调 用 一 次 ntpdate 调 整 系统 时 间 ，ntpdate 命 令 主要 功能 就 是 调整 UNIX/Linux 系 统 的 时 间 和 时 区 。 编 辑 /etc/puppet/manifests/cron.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


cron { 'ntpdate': 
ensure => true, 
command =>'/usr/sbin/ntpdate 192.168.0.1', 
user =>'root', 
minute =>'*/5"', 


cron 资 源 的 command 属 性 指定 调用 的 ntpdate 命 令 和 IP 地 址 ; user 属 性 指定 系统 执行 cron 的 账户 为 root; ensure 属 性 表示 设置 此 crontab， 其 实 也 可 以 忽略 这 一 属性 ， 因 为 其 默认 是 启用 的 ， 当 想 关 闭 
crontab 时 可 以 设置 此 属性 为 false; minute 表 示 执 行 的 时 间 ， 单 位 是 分 钟 ， 与 crontab 的 格式 是 一 样 的 。 设 置 完 成 后 通过 puppet apply 命 令 来 进行 测试 ， 过 程 和 结果 如 下 : 

# puppet apply /etc/puppet/manifests/cron.pp 

notice: /Stage[lmain]//Cron[ntpdate]/ ensure: created 

notice: /Stage[lmain]//Cron[logrotate]/minute: minute changed '0' to '*/5' 

notice: Finished catalog run in 0.02 seconds 

通过 Puppet 输 出 ， 可 以 看 到 已 经 成 功 地 创建 了 crontab。 可 以 通过 crontab 命 令 来 确认 是 否 执 行 成 功 。 

# crontab -u root -1 

# Puppet Name: ntpdate 

*/5 * * wx yw /usr/sbin/ntpdate 192.168.0.1 
7.2.9 ” notify 资源 

notify 资 源 主要 用 于 输出 Puppet 的 辅助 提示 信息 ， 在 Puppet 执 行 过 程 中 通过 这 些 辅助 信息 了 解 执行 的 过 程 ， 它 并 不 会 改变 任何 操作 状态 。 下 面 来 看 一 下 它 的 属性 和 案例 。 


1.notify 资 源 常 


属性 


以 下 为 notify 资 源 的 常用 属性 。 


notify{ ' 资 源 标题 ': 
name 
message 


} 


下 面 简单 分 析 一 下 上 面 属性 的 作用 。 


' name: 标识 名 。 


”Imessages : 输出 描述 信息 。 


2.notify 资 源 案 例 


这 里 以 notify 资 源 输出 辅助 信息 为 例 。 编 辑 /etc/puppet/manifests/notify.pp 如 下 : 


$sum = 8 + 64 
notify{'sum': 
message => "sum:${sum}", 


} 


计算 8 加 64 的 结果 通过 notify 资 源 输出 。 执 行 puppet apply/etc/puppet/manifests/notify.pp， 结 果 如 下 。 


# puppet apply /etc/puppet/manifests/notify.pp 

notice: sum:72 

notice: /Stage [main]//Notify[sum] /message: defined 'message' 
notice: Finished catalog run in 0.02 seconds 


as 'sum:72"' 


Puppet 会 输出 8 加 64 的 累加 和 ， 同 时 可 以 在 message 


7.3 ”资源 公有 属性 


Puppet Metaparameters 中 文 翻译 为 “元 参数 ”， 这 里 为 了 方便 读者 的 理解 ， 笔 者 又 将 它 称 为 资源 公有 


属性 中 增加 辅助 提示 信息 ， 让 输出 更 加 人 性 化 。 


源 完成 任务 与 否 的 结果 看 为 状态 ， 正 是 这 种 特性 让 我 们 可 以 通过 资源 公有 
终 执行 结果 ， 这 就 是 资源 公有 属性 的 用 途 。 


目前 Puppet 提 供 了 10 多 种 资源 公有 属性 ， 每 种 资源 公有 
stage、notify、subscribe 和 audit， 其 中 before 和 require 与 
范围 更 大 些 ， 可 以 调整 类 与 类 之 间 的 顺序 ; audit 资源 用 于 资 


原 变 时 


属性 完成 的 任务 是 不 一 样 的 。 
notify 和 subscribe 两 对 资源 公有 ， 
计 工作 。 接 着 介绍 资 } 


属性 来 建立 资源 与 资源 的 关系 。 当 建立 了 资源 的 关 


属性 〈 下 称 资源 公有 | 


属性 ) ， 它 包含 的 
医 关系 后 ， 前 者 资源 状态 未 成 功 时 ， 


属性 是 在 所 有 资源 或 类 中 可 以 通 上 


的 


属性 。Puppet 将 资 


后 者 资源 可 以 通过 资源 公有 ， 


下 面 首先 介绍 资源 公有 属性 的 应 


场景 。 然 后 介绍 Puppet 常 


原 公有 


关 了 


属性 来 定义 chaining 链 ， 即 将 所 有 的 公有 属性 状态 串联 起 来 使 用 。 


属性 应 用 场景 


通过 一 个 实际 的 案例 来 看 看 什么 情况 下 适合 


Puppet 的 资源 公有 ， 


后 再 创建 它 的 宿主 目录 ， 否 则 如 果 test 账 号 创建 失败 则 不 能 创建 它 的 宿主 目录 。 为 了 介绍 资源 公有 


资源 公有 


属性 。 首 先 通过 Puppet 的 user 资 源 在 机 器 上 创建 test 账 户 ， 接 着 创建 test 账 户 的 宿主 
属性 的 使 用 方法 ， 这 里 先 模拟 创建 账号 失败 的 场景 ， 调 用 use 


可 。 编 辑 /etc/puppet/manifests/user2.pp 文 件 ， 将 以 下 内 容 追 加 到 | 文件 中 。 


的 资源 公有 
属性 各 为 一 组 ， 前 者 表示 先后 顺序 ， 后 者 描述 了 通知 状态 ，stage 资 源 公 有 | 
属性 通过 符号 定义 的 方式 ， 通 过 符号 定义 公有 ， 
属性 的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/references/latest/metaparameter.html。 


属性 从 代码 实现 上 也 会 更 加 的 简洁 。 


属性 来 确认 其 最 


属性 ， 它 们 分 别 是 before、require、 
属性 也 是 描述 先后 顺序 的 ， 不 过 它 的 
最 后 介绍 通过 资源 公有 


录 ， 这 时 我 们 希望 的 结果 是 创建 test 账 号 成 功 


[资源 时 将 gid 


属性 设置 为 系统 不 存在 的 gid 即 


user {'test': 
uid => '800', 
gid => '800', # 指定 系统 不 存在 的 gid 
home => '/home/test', 


} 

file {'/home/test': 
ensure => directory, 
group => '800', 
owner => '800°', 


i 


/etc/puppet/manifests/user2.pp 文 件 的 含义 : 首先 通过 user 资 源 在 系统 创建 test 账 号 ， 并 设置 test 账 号 的 uid/gid 分 别 为 800; 设置 test 账 号 的 宿主 为 /home/test 目 录 ， 接 着 通过 file 资 源 创 


建 /home/test 


录 ， 并 设置 uid/gid 分 别 为 800。 通 过 puppet apply/etc/puppet/manifests/user2.pp 命 令 来 测试 它 的 最 终结 果 ， 执 行 的 过 程 和 结果 如 下 : 


# puppet apply /etc/puppet/manifests/user2.pp 

err: /User [test] /ensure: change from absent to present failed: Could not create user test: Execution of '/usr/sbin/useradd -u 800 -g 800 -d /home/test -s /bin/bash test' ret 
notice: /Stage[main]//File[/home/test]/ensure: created  ”# 成 功 创建 test 账 号 宿主 目录 

notice: Finished catalog run in 0.03 seconds 


建成 功 后 ， 账 号 宿主 目录 才 会 创建 ， 否 则 就 不 会 创建 账号 的 宿主 目录 。 那 么 如 何 达到 我 们 的 目的 呢 ? 这 时 就 可 以 


根据 Puppet 的 输出 信息 很 容易 看 出 ， 系 统 提示 账号 由 于 未 知 800 的 gid 组 ， 最 终 导致 test 账 号 创建 失败 ， 但 是 test 账 号 的 宿主 目录 却 成 功 创建 了 ， 这 是 不 符合 我 们 需求 的 。 我 们 希望 的 结果 是 test 账 号 创 
上 资源 公有 属性 了 。 首 先 清理 一 下 刚 创建 的 test 账 号 的 宿主 /home/test 目 录 ， 然 后 修 


改 /etc/puppet/manifests/user2.pp 文 件 中 的 Puppet 代 码 ， 增 加 require 资 源 公 有 属性 。 这 里 先 忽略 require 的 作用 ， 稍 后 会 详细 介绍 。 


# cat /etc/puppet/manifests/user2.pp 
user {'test': 


gid => '800', 
home => '/home/test', 


} 

file {'/home/test': 
ensure => directory, 
group => '800', 
owner => '800', 


require => User['test'], # User 资 源 首 字母 大 写 


在 /etcpuppet/manifestsuser2.pp 的 Puppet 代 码 中 增加 require=>User[test]， 它 的 含义 是 告诉 file 资源 在 执行 前 ， 确 认 标 题 为 test 的 user 资 源 是 否 为 成 功 状态 ， 如 果 是 成 功 状态 则 继承 执行 ， 否 则 


跳 过 本 次 执行 。 这 里 需要 注意 ， 调 用 user 资 源 首 字母 “U” 要 大 写 。 再 次 执行 puppet apply 命 令 ， 过 程 和 结果 如 下 : 


# puppet apply /etc/puppet/manifests/user2.pp 

err: /Stage[main]//User[test]/ensure: change from absent to present failed: Could not create user test: Execution of '/usr/sbin/useradd -u 800 -g 800 -d /home/test test' ret 
notice: /Stage[lmain]//File[/home/test]: Dependency User[test] has failures: true 

warning: /Stage[main]//File[/home/test]: Skipping because of failed dependencies # 跳 过 执行 
notice: Finished catalog run in 0.03 seconds 


根据 Puppet 的 输出 信息 ， 可 以 看 到 test 账 号 由 于 800 组 不 存在 的 原因 仍然 没有 创建 成 功 ， 创 建 test 账 号 的 宿主 目录 功能 也 跳 过 了 ， 并 提示 错误 信息 (Skipping because of failed dependencies) ， 这 


才 是 我 们 希望 得 到 的 结果 。 通 过 require 资 源 公有 ， 


是 资源 公有 属性 的 主要 用 途 。 


加 注意 在 定义 资源 与 资源 间 关 联 关系 时 ， 资 源 公有 属性 调用 的 资源 首 字母 要 大 写 ， 如 以 上 案例 中 的 User[ “test”]， 这 里 的 首 字 母 是 必须 大 写 的 。 


7.3.2 before 和 require 资 源 公 有 


属性 


笔者 将 before 和 require 这 两 个 资源 公有 属性 分 为 了 一 组 ， 因 为 它们 的 主要 功能 都 是 定义 资源 与 资源 之 间 的 先后 顺序 。 


1.before 资 源 公有 属性 


Before 资 源 公 有 属性 的 作用 是 当前 者 资源 成 功 执行 后 ， 再 通知 下 一 资源 执行 。 以 下 为 代码 片段 。 


属性 实现 了 资源 按 顺序 执行 功能 ， 也 就 是 说 当主 调资 源 状态 没有 执行 成 功 时 ， 被 调资 源 结果 也 不 会 成 功 ;反之 主 调资 源 执 行 成 功 ， 被 调资 源 才 会 成 功 ， 这 就 


file {'/tmp/testl1': 
ensure => present, 
content => 'Hi.', 


before => Notify['/tmp/testl has already been synced.'], 


} 
notify {'/tmp/testl has already been synced.': } 


# Notify 资 源 首 字母 大 写 


当 file 资 源 成 功 将 “Hi.” 内 容 写 入 /tmp/test1 文 件 中 后 ， 则 调 


了 、inode 满 了 和 磁盘 故障 等 ) ， 最 终 notify 资 源 则 跳 过 执行 。 这 就 通过 before 资 源 公 有 


2.require 资 源 公 有 属性 


Require 资 源 公 有 属性 和 before 资 源 公 有 属性 恰好 相反 ， 其 主要 功能 是 在 本 资源 执行 之 前 ， 需 要 确认 其 


file { '/usr/local/scripts': 
ensure => directory 


} 


file { '/usr/local/scripts/myscript': 
source => 'puppet: //server/module/myscript'， 


mode => 1755', 


require => File["/usr/local/scripts"], 


} 


# File 资 源 首 字母 大 写 


他 资源 是 否 已 经 被 成 功 执行 。 以 下 为 代码 片段 。 


notify 资 源 将 “/tmp/test1has already been synced.” 内 容 输出 到 终端 上 。 否 则 当 file 资 源 执行 失败 (失败 的 原因 有 多 种 ， 如 磁盘 满 
属性 实现 了 资源 与 资源 之 间 的 关联 关系 。 


第 一 个 file 资 源 标题 为 /usr/local/scripts/myscript，ensure, 


为 /usr/local/scripts 的 目录 是 否 已 经 被 成 功 创建 ， 成 功 创建 后 才 会 同步 myscript 脚 本 文件 到 /usr/local/scripts/myscript 目 录 下 。 


资源 也 就 不 会 执行 了 ， 这 样 就 保证 Puppet 同 步 配 置 文 件 时 不 会 出 现 目 录 不 存在 的 问题 。 


7.3.3 ”notify 和 subscire 资 源 公 有 属性 


笔者 将 notify 和 subscribe 这 两 个 资源 公有 属性 分 为 一 组 来 介绍 ， 因 为 它们 的 主要 功能 都 是 资源 与 资源 之 间 状 态 的 通知 ，notify 资 源 公有 . 


1.notify 资 源 公有 属性 


Notify 资 源 公 有 属性 的 主要 作 


来 主动 通知 其 他 资源 本 资源 的 状态 


。 以 下 为 代码 片段 。 


属性 为 主动 通知 ，subscire 资 源 公有 , 


属性 为 directory， 它 的 主要 的 功能 是 创建 /usr/local/scripts/myscript 目 录 结 构 ; 第 二 个 file 资 源 在 执行 前 先 要 确认 第 一 个 file 资 源 标题 
之 如 果 第 一 个 资源 创建 失败 ， 由 于 require 资 源 公 有 属性 的 限制 ， 第 二 个 


file { '/etc/ssh/sshd config': 


ensure => file, 


source => 'puppet: ///modules/ssh/sshd config', 


notify => Service['sshd'], 
} 
service { 'sshd': 

ensure => running, 

enable => true, 


} 


# Service 资源 首 字 母 大 写 


/etc/ssh/sshd _config 配 置 文件 同步 成 功 后 会 主动 通知 servcie 资 源 重新 加 载 配置 文件 。 否 则 file 资 源 执行 失败 ，service 资 源 则 跳 过 执行 。 这 就 保障 了 在 没有 加 载 最 新 配置 的 情况 下 ，sshd 进 程 不 会 重新 
启动 。 
2.subscire 资 源 公有 属性 


于 被 动 通知 ， 当 subscribe 资 源 公 有 属性 检测 依赖 资源 变化 时 ， 会 主动 更 新 所 在 资源 符 状 态 。 以 下 为 代码 片段 。 


过 


Subscire 资 源 公 有 属性 和 notify 资 源 恰 好 相 


file { '/etc/ssh/sshd config': 
ensure => file, i 
mode => 600, 
source => 'puppet: ///modules/ssh/sshd config', 


service { 'sshd': 
ensure => running, 
enable => true, 
subscribe => File['/etc/ssh/sshd config'], # File 资源 首 字母 大 写 


} 


新 启动 sshd 守 护 进 程 。 否 则 检查 /etc/ssh/sshd_config 配 置 文件 没有 变更 ， 则 跳 过 service 资 源 的 执行 。 


当 service 资 源 检查 /etc/ssh/sshd_config 配 置 文 件 时 发 现 变更 ， 则 加 载 变 更 后 的 配置 ， 并 重 


7.3.4 ”资源 公有 属性 的 其 他 描述 方式 


Puppet 的 资源 公有 属性 中 还 可 以 通过 “->” 和 “~>” 两 种 特殊 符号 来 描述 资源 与 资源 之 间 的 关系 。 通 过 符号 的 描述 方式 会 让 代码 看 起 来 更 加 简洁 。 但 不 管 是 符号 方式 还 是 英文 单词 描述 方式 ， 其 最 终 


的 结果 都 是 一 样 的 ， 即 串联 资源 与 资源 的 关系 。 两 种 符号 描述 方式 的 含义 如 下 。 


“ ->: 用 于 表示 资源 与 资源 之 间 的 先后 关系 ， 等 同 于 before 和 require 两 个 资源 公有 属性 。 


“ ~>: 用 于 表示 资源 之 间 的 通知 ， 等 同 于 notify 和 subscire 两 个 资源 公有 属性 。 


下 面 通过 资源 公有 属性 符号 的 形式 来 介绍 其 他 两 种 描述 资源 与 资源 之 间 关 系 的 案例 。 


案例 1 
通过 -> 符号 来 描述 资源 与 资源 之 间 的 前 后 顺序 关系 。 以 下 为 代码 片段 。 


file {'/tmp/testl1': 
ensure => present, 
content => 'Hi.', 
} 
notify { 'after': 
message => '/tmp/testl has already been synced.', 


} 
File['/tmp/test1'] -> Notify['after'] # File 与 Notify 资 源 首 字母 大 写 ,其 中 -> 符号 用 来 表示 资源 前 后 关系 


首先 定义 file 资 源 ， 作 用 是 在 /tmpytest1 目 录 下 创建 文件 ， 并 向 文件 内 追加 “Hi.” 内 容 ， 然 后 通过 File[ /tmpytest1]->Notify['after] 实 现 资源 与 资源 之 间 的 前 后 顺序 关系 。 当 file 资 源 标题 
为 /tmpytest1 且 执行 成 功 后 ， 执 行 notify 资 源 标题 为 after。 这 里 注意 ， 资 源 与 资源 建立 先后 顺序 关系 时 首 写字 母 要 大 写 。 


@ 提 示 。 两 个 资源 File 和 Notify 首 字母 都 要 大 写 。 
案例 2 


通过 ~ > 来 通知 资源 与 资源 的 关系 。 以 下 为 代码 片段 : 


file {'/tmp/testl1': 
ensure => present, 
content => 'Hi,', 
} 
~ # ~> 符号 用 来 表示 通知 
notify {'after': 
message => '/tmp/test1 has already been synced.', 
} 


首先 定义 file 资 源 ， 作 用 是 在 /tmp/test1 目 录 下 创建 文件 ， 并 向 文件 内 追加 “Hi.” 内 容 ， 通 过 ~ > 通知 notify 资 源 标题 为 after 的 执行 ， 显 示 成 功 同步 的 信息 。 否 则 file 资 源 执行 失败 ， 则 notify 资 源 跳 过 执 


人 


行 。 


7.3.5 定义 Chaining 


通过 安装 openssh-server 软 件 的 方式 来 介绍 定义 链 的 


Chaining 中 文 译 为 “ 链 ” (下 称 “ 链 ”) ， 可 以 将 资源 与 资源 之 间 的 状态 串联 起 来 定义 ， 资 源 与 资源 之 间 的 依赖 关系 称 为 链 ， 如 图 7-4 所 示 。 下 面 
两 种 方式 。 


图 7-4 Puppet 的 链 


1. 资 源 公 有 属性 方式 


首先 通过 package 资 源 来 安装 openssh-server 软 件 包 。openssh-server 软 件 包 安 装 成 功 后 再 同步 sshd_config 的 配置 文件 。 成 功 同步 sshd_config 配 置 文件 后 ， 最 后 重启 sshd 守 护 进程 。 


安装 openssh-server 软 件 包 。 


package { 'openssh-server': 


ensure => present, 
before => File['/etc/ssh/sshd config'], # File 资 源 首 字母 大 写 
} 


如 果 openssh-server 安 装 成 功 ， 则 通过 file 资 源 同步 sshd_config 配 置 文件 。 


file { '/etc/ssh/sshd config': 

ensure => file, 

mode => '600', 

source => '/root/examples/sshd config', 

notify => Service ['sshd'], # Service 资 源 首 字母 大 写 
} 


成 功 同步 sshd_config 配 置 文件 后 ， 则 通知 service 资 源 重 新 加 载 sshd 守 护 进 程 。 


service { 'sshd': 
ensure => running, 
enable => true, 

} 


2. 资 源 公有 属性 的 符号 方式 


这 里 和 上 边 “ 资 源 公有 属性 方式 ”中 的 案例 一 致 ， 只 不 过 通过 -> 和 ~> 两 种 符号 来 描述 资源 与 资源 之 间 的 关系 。 


package { 'openssh-server': 
ensure => present, 


} 
file { '/etc/ssh/sshd config': 

ensure => file, 

mode => '600', 

source => 'puppet: ///files/ssh/sshd config', 
} 
service { 'sshd': 

ensure => running, 

enable => true, 


} 
# Package File Service 首 字母 大 写 
Package ['openssh-server'] -> File['/etc/ssh/sshd config '] ~> Service['sshd'] 


当 Package['openssh-server] 执 行 成 功 后 ， 通 过 -> 执行 [Vetc/ssh/sshd_config'] 资 源 ， 当 File[Vetc/ssh/sshd_config'] 资 源 执行 成 功 后 ， 通 过 ~ > 通知 Service['sshd'"] 重 新 加 载 守护 进程 。 


7.3.6 _ stage 资源 公 有 属性 与 stage 资 源 


stage 资 源 公 有 属性 通常 与 stage 资 源 共 同 使 用 ，stage 资 源 又 被 看 成 运行 阶段 资源 ， 比 before 和 require 资 源 公 有 属性 范围 更 大 ， 可 以 调整 类 与 类 之 间 的 执行 顺序 。 使 用 stage 运 行 阶段 资源 分 为 以 下 两 


个 部 分 : 


“ 定义 stage 资 源 类 型 。 
“ 通过 stage 资 源 公有 属性 衔接 类 名 。 
以 下 为 stage 运 行 阶段 代码 片段 。 


1) 定义 stage 资 源 类 型 。 


stage {"pre": before => Stage["main"]} 
stage {"last": require=>Stage["main"] 


2) 衔接 类 之 间 的 关系 。 


class db install{http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/..http://www.hzcourse.com/resource/readBook?path=/openr 
class web install{http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/. .http://www.hzcourse.com/resource/readBook?path=/oper 
class {"db install": stage => "last"} 
class{"web install": stage => "pre"} 


它 的 执行 顺序 为 : 先是 pre， 然 后 是 main， 最 后 是 last。 我 们 经 常 在 Puppet 输 出 中 看 到 main 的 身影 ， 它 是 Puppet 默 认 运 行 阶段 。 


以 下 为 stdlib 中 的 stage 应 用 案例 ， 其 中 -> 表示 通知 类 之 间 的 先后 顺序 。 


stage { 'setup': before => Stage['main'] } 
stage { 'runtime': require => Stage['main'] } 
-> stage { 'setup infra': } 

-> stage { 'deploy infra': } 

-> stage { 'setup app': } 

-> stage { 'deploy app': } 

-> stage { 'deploy': } 


7.3.7 audit 审计 


audit 资 源 公 有 属性 主要 用 于 资源 属性 的 审计 ， 当 某 资源 变化 状态 变化 时 ， 它 可 以 将 变化 的 内 容 追 加 到 系统 日 志 中 。 具 体 使 用 方式 如 下 : 


file{'/etc/passwd': 
audit => [ ownerrmode ]， 


i 


Puppet 执 行 过 程 中 会 记录 和 监视 /etc/passwd 文 件 的 owner 和 mode 两 个 权限 ， 如 果 更 改 /etc/passwd 文 件 的 这 两 个 权限 ， 更 改 的 记录 就 会 被 记录 到 系统 日 志 中 。 


notice: /Stage[main]//Node[puppet agent]/File[/etc/passwd] /mode: audit 
change: previously recorded value 644 has been changed to 666 


同时 我 们 也 可 以 监控 系统 日 志 的 变化 ， 并 将 变化 的 信息 通过 Puppet 邮 件 功能 推送 给 管理 员 。 


7.4 默认 资源 


默认 资源 可 以 为 资源 初始 化 属性 和 值 ， 通 常 默认 资源 声明 在 site.pp 文 件 的 首部 ， 代 码 如 下 : 


#site.pp 
Exec { 

path => '/usr/bin:/bin:/usr/sbin:/sbin', 
} 


声明 默认 资源 注意 事项 如 下 : 


“ 声明 默认 资源 时 首 字 母 需要 大 写 ， 如 exec 声 明 默 认 资 源 Exec、package 声 明 默 认 资源 Package 等 。 
:如果 声明 资源 有 一 个 名 称 空间 资源 “::”， 它 的 每 个 环节 都 需要 首 字母 大 写 ， 如 Concat:Fragment。 
看 一 下 exec 和 package 两 个 资源 声明 默认 资源 的 方法 。 


Exec 默 认 资 源 的 声明 方法 如 下 : 


Exec { path => '/usr/bin:/bin:/usr/sbin:/sbin' } # Exec 默 认 资源 首 字 母 大 写 
exec { 'echo this works': } 


通过 Exec 默 认 资 源 声明 path 属 性 的 环境 变量 值 ， 在 后 续 声 明 exec 资 源 时 可 以 直接 调用 系统 命令 而 不 用 担心 环境 变量 的 问题 。 


Package 默 认 资 源 的 声明 方法 如 下 : 


Package { provider => 'rpm'} # Package 默 认 资源 首 字 母 大 写 
package { 'nginx': } 


在 默认 资源 中 声明 provider 属 性 ， 指 定 包 的 安装 方式 为 rpm， 后 续 package 资 源 中 provider 属 性 均 为 rpm。 


7.5 ”Puppet 虚 拟 资源 


Puppet 中 的 Virtual Resource (中 文 译 为 “虚拟 资源 ”， 下 文 统称 “虚拟 资源 ”) 主要 用 来 解决 资源 重 定义 的 问题 。 首 先 通过 一 个 案例 来 了 解 虚 拟 资源 应 用 场景 ; 然后 了 解 如 何 声明 虚拟 资源 并 通过 虚 
拟 资源 来 解决 Puppet 应 用 中 的 实际 问题 。 


7.5.1 ”虚拟 资源 应 用 场景 


通过 一 个 案例 来 介绍 Puppet 虚 拟 资源 的 应 用 场景 。 在 一 个 基础 base::acounts 类 内 集中 通过 user 资 源 创建 系统 账号 ， 并 通过 webserver 节 点 来 引用 这 个 基础 类 。 希 望 的 结果 是 在 webserver 节 点 上 只 创建 
testing 账 号 。 但 实际 结果 是 什么 样 的 呢 ? 


根据 之 前 所 学 习 的 知识 ， 首 先 定义 类 名 为 base::account， 此 类 的 逻辑 主要 负责 创建 账号 ， 在 base::account 类 中 通过 资源 来 分 别 创 建 development 开 发 账号 和 testing 测 试 账号 ， 然 后 调用 测试 
webserver 节 点 来 加 载 这 个 基础 类 。 以 下 为 代码 片段 。 


# /etc/puppet/manifests/site.pp 
class base::accountst{ 
user {'development': # 创建 developemnet 账 号 
ensure => present, 
home => '/data/home/development', 
shell => '/bin/bash', 
了 
user {'testing': # 创建 testing 账 号 
ensure => present, 
home => '/data/home/testing', 
shell => '/bin/bash', 
} 
node webserver{ 


include base::accounts 


} 


我 们 希望 得 到 的 结果 是 在 webserver 的 Agent 上 创建 testing 系 统 账号 ， 但 是 实际 执行 Master 的 配置 结果 如 下 : 


info: Caching catalog for test webserver 

info: Applying configuration version '1379987749' 

notice: /Stage[main]/Base::Accounts/User[development]/ensure: created # development 账 号 被 创建 
notice: /Stage [main]/Base: :Accounts/User [testing] /ensure: created # testing 账 号 被 创建 

notice: Finished catalog run in 0.05 seconds 


在 webserver 的 服务 器 上 分 别 创建 了 testing 和 development 两 个 账号 ， 所 以 创建 两 个 账号 的 结果 并 不 符合 我 们 需求 的 。 这 时 就 可 以 使 用 Puppet 资 源 提供 的 “虚拟 资源 ”功能 ， 来 解决 这 个 问题 。 


7.5.2 ”虚拟 资源 


虚拟 资源 与 普通 资源 的 区 别 是 ， 虚 拟 资源 定义 后 要 先 实例 化 再 使 用 ， 而 普通 资源 定义 后 可 以 直接 使 用 。 定 义 虚拟 资源 的 方法 是 在 资源 前 追加 @， 如 @user， 这 时 的 user 资 源 就 是 一 个 虚拟 资源 。 在 代码 
文件 中 将 资源 转 为 虚拟 资源 后 ，Puppet 在 执行 的 时 候 并 不 会 调用 它 ， 如 果 想 执行 ， 需 要 通过 realize 函 数 或 者 “<||>” (又 称 飞船 方法 ) 来 实例 化 一 个 虚拟 资源 。 下 面 通过 3 个 案例 来 具体 介绍 虚拟 资源 的 使 
。 具 体内 容 如 下 。 


“ 案例 1: 改造 7.5.1 节 中 的 案例 ， 通 过 虚拟 资源 方式 来 创建 用 户 。 
“ 案例 2: 利用 虚拟 资源 解决 资源 重 定义 的 情况 。 
“ 案例 3: 虚拟 资源 的 其 他 描述 方式 。 


案例 1 


这 里 来 改造 7.5.1 节 中 的 案例 。 我 们 希望 的 是 在 webserver 节 点 上 只 创建 testing 账 号 ， 在 user 资 源 前 追加 “@”。 详 细 代码 如 下 : 


# /etc/puppet/manifests/site.pp 
class base::accountst{ 


@user {'development': # 创建 development 账 号 


ensure => present, 
home => '/data/home/development', 
shell => '/bin/bash', 
} 
@user {'testing': # 创建 testing 账 号 
ensure => present, 
home => '/data/home/testing', 
shell => '/bin/bash', 
} 
} 
node webserver{ 
include base::accounts 


realize (User['testing']) # 通过 realize 函 数 实例 化 User 资 源 , 注意 User 首 字母 需要 大 写 。 


} 


在 webserver 的 Agent 上 执行 结果 如 下 : 


info: Caching catalog for test webserver 


info: Applying configuration version '1379987749' 
notice: /Stage[main]/Base::Accounts/User[testing] /ensure: created 


notice: Finished catalog run in 0.05 seconds 


通过 虚拟 资源 满足 了 我 们 之 前 的 需求 ， 即 在 webserver 节 点 上 创建 testing 账 号 。 通 过 最 终 的 结果 可 以 看 出 ， 当 资源 声明 为 虚拟 资源 时 ，Puppet 在 执行 过 程 中 并 不 会 直接 调用 ， 只 有 通过 realize 实 例 化 后 


的 资源 才 会 被 调用 。 


案例 2 


下 面 再 来 看 一 个 资源 标题 重 定义 的 案例 。 


为 webserver 节 点 安装 Nginx 软 伯 包 ， 但 webserver 


app::online 类 (在 线 服务 器 ) 和 app::offline 类 (离线 服务 器 ) 。 代 码 如 下 : 


节点 中 的 Agent 包 含 了 online (在 线 服 务 器 ) 和 offline (离线 服务 器 ) ， 通 过 webserver 节 点 来 声明 它们 ， 在 site.pp 文 件 中 分 别 创建 两 个 类 一 一 


class app: :offline{ 
include offline # 加 载 离 线 服务 器 相关 信息 


package {'nginx-server': ensure => installed } # 安装 Nginx 
class app::onlinef{ 

include online # 加 载 在 线 服 务 器 相关 信息 

package { 'nginx-server': ensure => installed } # 安装 Nginx 


如 果 分 别 加 载 app::online 和 app::offline 这 两 个 类 是 没有 问题 的 ， 但 这 里 将 两 个 类 放 到 一 个 webserver node 节 点 中 使 用 。 代 码 如 下 : 


node webserver1i 
include app::offline 
include app::online 


在 webserver 的 Agent 访 问 Master 的 配置 信息 时 ， 就 会 报 以 下 的 错误 信息 : 


err: Could not retrieve catalog from remote server: Error 400 on SERVER: 
Duplicate declaration: Package[nginx-server] is already declared in file 


上 述 的 执行 结果 是 一 条 错误 提示 ,错误 类 型 为 资源 重 定义 。 之 所 以 会 出 现 这 类 错误 ， 是 
的 名 字 ， 但 是 其 他 类 在 加 载 的 时 候 就 会 出 现 问题 ， 怎 么 办 ”这 时 就 可 以 使 


为 


试图 


首先 定义 一 个 虚拟 包 admin::virtual-packages 类 ， 将 package 转 为 虚拟 资源 。 


同样 的 资源 标题 nginx-server 来 安装 软件 ， 这 样 是 Puppet 不 允许 的 。 除 非 更 换 创建 用 户 资源 标题 


Puppet 的 虚拟 资源 功能 来 完成 这 个 任务 。 以 下 为 通过 虚拟 资源 改造 后 的 代码 。 


class admin: :virtual-packages{ 


Q@package { "nginx-server": ensure => installed } 


然后 分 别 在 另 两 个 类 中 通过 系统 函数 realize 来 调用 package 类 的 标题 nginx-server。 


class app: :offline{ 


# 通过 realize 实 例 化 资源 ,注意 实例 后 的 Package 资 源 首 字母 大 写 


realize (Package['nginx-server']) 
} 
class app: :online{ 

realize (Package['nginx-server']) # 同上 


} 


通过 虚拟 资源 来 实例 化 资源 的 方法 解决 了 资 ) 


案例 3 


实例 化 一 个 虚拟 资源 除了 用 系统 提供 的 realize 函 数 外 ， 还 可 以 用 “<||>”。 


class admin: :virtual-packages{ 


定义 的 冲突 。 再 次 执行 Agent 会 发 现 ， 刚 刚 的 错误 信息 消失 了 。 


package { "nginx-server": ensure => installed } # 声 明 虚 拟 资源 


class app: :offline{ 


Package<| title = "nginx-server"|> # 实例 化 资源 ,结果 同 realize (Package['nginx-server']) 一 臻 


} 
class app::online{ 

Package<| title 一 "nginx-server"|> # 同上 
} 


在 web_server 节 点 中 加 入 admin::virtual-packages， 


node web server{ 
include admin: :virtual-packages 
include app: :offline 
include app::online 


由 


新 执行 Agent 也 是 正确 的 。 


7.6 ”Puppet 资 源 的 导出 


Puppet 支 持 资源 导出 的 功能 ， 此 功能 可 以 将 Agent 编 译 后 的 目录 在 其 他 任意 Agent 上 收集 与 创建 。 常 见 的 案例 如 A/B 两 台 Agent，Puppet 可 以 将 两 台 Agent 的 SSH 公 钥 导 出 ， 并 交换 这 些 信息 ， 分 别 在 


A/B 上 创建 互相 的 公 钥 。 这 样 的 配置 可 以 提高 安全 性 能 ， 并 消除 第 一 次 使 用 SSH 登 录 的 unknown host 警 告 。 目 前 Puppet 资 源 导出 后 可 以 存放 在 3 种 存储 中 ， 它 们 分 别 是 MySQL、SQLite3 和 PuppetDB， 
中 MySQL 配 置 最 简单 。 本 节 主 要 以 MySQL 作 为 存储 来 介绍 Puppet 资 源 的 导出 。 


7.6.1 “环境 的 配置 


1. 环 境 安装 


首先 安装 资源 导出 的 环境 。 我 们 以 CentOS 发 行 版 本 为 例 ， 在 Master 安 装 MySQL 的 环境 。 


# yum install mysql 

# yum install mysql-devel 
# Yum mysql-server 

# yum ruby-mysql 


Puppet 中 的 资源 导出 与 存储 利用 了 Ruby on Rails 框 架 ， 它 将 Puppet 资 源 模块 化 后 存储 到 一 个 支持 关系 型 数据 库 的 Active Record 中 ， 所 以 还 要 安装 Ruby on Rails 与 activeRecord 库 。 接 着 通过 gem 来 


安装 它们 。 


1) Ruby on Rails 安 装 (Puppet 0.2.48 与 Puppet 0.25.* 需 要 安装 rails 的 2.2.2 以 上 版 本 ) 。 


# gem install rails -v 2.3.5 -no-ri -no-rdoc 


2) activerecord 安 装 。 


# gem install activerecord -V 2.3.5 --no-ri ~--no-rdoc 


2. 环 境 配置 


1) MySQL 的 配置 。 通 过 Puppet 导 出 的 所 有 的 资源 会 存储 到 MySQL 中 ， 所 以 需要 创建 存储 资源 所 用 的 MySQL 库 ， 并 创建 Puppet 连 接 MySQL 时 所 用 的 账户 。 


# mysql 

mysql> create databases puppet # 创建 

# 创建 访问 账户 与 账户 的 密码 

mysql> grant all privileges on puppet.* to puppet@localhost identified by 'puppet' 
# 刷新 配置 

mysql> flush privileges; 


2) 让 Puppet 的 配置 支持 资源 导出 与 存储 。 修 改 Master 的 puppet.conf 主 配置 文件 ， 追 加 以 下 内 容 : 


[master] 
storeconfigs = true # 开启 存储 配置 
dbadapter = mysql # 指定 存储 介质 


dbname = puppet # 指定 访问 MysOr 数 据 库 名 
dbuser = puppet # 指定 访问 MySQL 的 账户 名 
dbpassword = puppet # 指定 访问 MySQL 的 密码 


dbserver = localhost # 指定 MySQL 的 地 址 
dbsocket = /var/lib/mysql/mysql.sock “ # 指定 MySQL 的 mysql .sock 


Puppet 会 根据 此 配置 信息 对 导出 后 的 资源 进行 存储 。 如 果 我 们 改变 了 MySQl 数 据 库 地 址 、 账 号 或 密码 ， 需 要 同时 变更 puppet.conf 配 置 文件 中 的 配置 。 


7.6.2 ”资源 导出 案例 


在 一 些 网 站 或 企业 中 新 的 系统 上 线 ， 其 他 系统 的 known 文 件 就 会 过 时 了 ， 从 而 导致 SSH 登 录 时 报 unknown host 警 告 。 对 于 这 个 问题 可 以 通过 Puppet 资 源 导 出 来 解决 。 在 新 系统 上 线 后 ， 将 其 公 钥 追加 


到 新 的 系统 中 ， 如 图 7-5 所 示 。 在 puppet2.example.com 上 导入 pupet1.example.com 的 rsakey。 


puppekexample.com 


| 了 
puppetl.example.com puppet2.example.com 


图 7-5 Puppet 资 源 导 出 


1.Master 配 置 


编辑 site.pp 文 件 ， 并 追加 以 下 内 容 : 


node default{ 
Q@@sshkey{"$ {fqdn} rsa": # 资源 导出 使 用 "@@" 
host aliases => ["$fqdn","$hostname","$ipaddress"], 
type => rsa, 
key => $sshrsakey, # Agent 的 rsakey 


} 
Sshkey <<| |>> {ensure => present} # Sshkey 首 字母 大 写 ,将 导出 的 数据 在 机 器 上 创建 它 
} 


如 以 上 代码 所 示 ， 通 过 sshkey 资 源 导 出 各 机 器 的 配置 信息 到 存储 中 ， 导 出 资源 要 使 用 @@。 标 题 中 包含 了 dsa 或 rra， 为 了 防止 它们 冲突 ， 我 们 使 用 了 Facter 中 的 变量 值 。 
外 注意 资源 收集 时 指定 的 额外 参数 (Sshkey<<||>>{ensure=>present}) 是 在 Puppet 2.6.x 以 后 新 增 的 功能 ，Puppet 0.25.* 不 支持 此 功能 。 
2.Agent 配 置 


在 puppet1.example.com 上 执行 puppet agent--server puppet.example.com--test 进 行 Agent 配 置 。 首 次 执行 Master 会 根据 puppet.conf 创 建 相应 的 表 ， 并 将 资源 导出 后 的 信息 导入 数据 库 中 。 


# puppet agent --server puppet.example.com --test 

info: Caching catalog for puppetl .example.com 

info: Applying configuration version '1400907448"' 

# 创建 rsakey 

notice: /Stage [main]//Node [default]/Sshkey[Puppet1.example.com rsa]/ensure: created 
info: FileBucket adding {md5}313bdc7eb2d73cd6ea0a9507f22913f8 

notice: Finished catalog run in 0.10 seconds 


通过 mysql-upuppet-ppuppet-D puppet 查 看 Master 的 数据 库 ， 其 中 u 参 数 表示 登录 名 ，p 参 数 表示 登录 密码 ，D (大 写 D) 参数 表示 访问 的 数据 库 名 。 


# mysql -upuppet -ppuppet -D puppet 
mysql> show tables; 

十 = 一 -一 -一 -一 -一 一 一 -一 -一 -一 十 

| Tables in puppet | 

二 -一 -一 -一 -一 -一 -一 -一 ~- 十 

| fact names | 

| fact values | 


| hosts | 
| inventory facts | 
| inventory nodes | 
| param names | 
| param values | 
| puppet tags | 
| resource tags 1 
| resources 1 
| source files | 


11 rows in set (0.00 sec) 


如 果 管理 超过 100 台 的 Agent， 建 议 为 reousrces 表 添加 索引 ， 以 提升 查询 的 速度 。 添 加 索引 的 方式 如 下 : 


mysql> create index exported restype title on resources (exported, restype,title(50)); 


最 后 在 puppet2.example.com 上 执行 puppet agent--server puppet.example.com--test。 


# puppet agent --server puppet .example.com --test 

info: Caching catalog for puppetl .example.com 

info: Applying configuration version '1400907448"' 

# 在 创建 puppet2 .example.com rsa key 基 础 上 ,在 本 机 也 创建 了 puppet1.example.com rsa 的 key 
notice: /Stage[main]//Node[default]/Sshkey [puppetl .example.com rsa]l /ensure: created 
notice: /Stage [main]//Node [default]/Sshkey[Puppet2.example.com dsa]/ensure: created 
info: FileBucket adding {md5}313bdc7eb2d73cd6ea0a9507f22913f8 

notice: Finished catalog run in 0.10 seconds 


可 以 看 到 puppet1.example.com 的 rsa 密 钥 同时 在 puppet2.example.com 中 也 生成 了 一 份 。 


7.6.3 ”过 期 资源 清理 


使 用 Puppet 存 储 的 潜在 问题 是 ， 从 Agent 收 集 到 的 信息 会 无 限期 地 存储 在 MySQL 数 据 库 中 ， 久 而 久之 就 会 影响 MySQL 数 据 库 的 性 能 ， 同 时 浪费 了 很 多 的 存储 空间 。 还 好 Example.com 的 操作 成 员 为 我 
们 提供 了 工具 ， 可 以 从 数据 库 中 清理 历史 的 数据 。 工 具 下 载 地 址 如 下 : 


# wget https://github.com/puppetlabs/puppet/blob/2.6.4/ext/puppetstoredconfigclean.rb 


从 数据 库 中 清理 一 个 节点 历史 数据 ， 只 需要 将 它们 的 主机 名 传 给 脚本 就 可 以 。 使 用 方法 如 下 : 


# ruby puppetstoredconfigclean.rb mail{1,2,3}dev 


运行 配置 清理 脚本 后 ， 这 些 节 点 导出 资源 将 不 会 再 被 任何 Puppet 清 单 文件 所 收藏 。 


第 8 章 ”Puppet ERB 模 板 详解 


现代 人 对 工作 的 划分 越 来 越 细 ， 而 被 划分 出 的 小 单元 的 功能 越 来 越 单一 。 人 们 之 所 以 这 样 做 ， 无 非 是 想 提高 工作 效率 。 以 汽车 的 生产 为 例 ， 汽 车 从 开始 制造 到 产 出 会 经 过 一 个 流水 线 ， 每 个 流水 线 只 负 
责 自己 相对 独立 的 任务 ， 每 个 人 完成 的 部 分 连接 到 一 起 最 后 生产 出 一 辆 汽车 ， 正 是 流水 线 确保 了 汽车 的 质量 和 生产 效率 。 互 联网 时 代 也 引入 了 这 样 的 概念 ， 网 页 编程 中 的 模板 技术 就 是 如 此 。 模 板 技术 有 很 
多 种 ， 有 的 模板 技术 可 以 实现 动态 静态 分 离 ， 提 高 用 户 的 访问 速度 ， 改 善 用 户 体验 ， 降 低 服 务 器 的 压力 ， 从 而 节约 很 多 成 本 ; 有 的 模板 技术 可 以 提供 一 个 网 页 模板 ， 其 他 网 页 都 基于 这 模板 网 页 开发 ， 这 样 
既 降 低 了 开发 成 本 ， 也 节省 了 程序 员 的 时 间 ， 提 高 了 工作 效率 。 同 样 Puppet 也 引进 了 模板 技术 ， 即 ERB 模 板 技术 ， 而 且 拥 有 独立 的 ERB 模 板 语言 。Puppet 本 身 并 没有 模板 概念 ，ERB 模 板 是 Ruby standard 
library 的 一 部 分 。 


下 面 首先 介绍 ERB 模 板 应 用 场景 ， 让 读者 了 解 应 该 如 何 使 用 它 ; 然后 介绍 ERB 的 语言 ; 最 后 介绍 ERB 模 板 的 案例 ， 通 过 ERB 模 板 配置 Apache 虚 拟 主机 。 


8.1 “ERB 模板 应 用 场景 


Puppet 配 置 管理 工具 支持 模板 技术 ， 但 它 并 不 自 带 模板 ， 而 是 使 用 了 Embedded Ruby (简称 ERB) 来 支持 模板 技术 。Puppet 引 入 ERB 模 板 技术 的 优势 是 可 以 让 我 们 更 加 方便 地 管理 差异 化 的 服务 器 配 
置信 息 ， 那 么 ERB 模 板 技 术 如 何 差异 化 管理 服务 器 呢 ? 举 个 例子 ， 我 们 通常 将 系统 架构 分 为 3 层 ， 分 别 是 接 入 层 、 罗 辑 层 和 存储 层 。 以 接 入 层 为 例 ， 我 们 要 通过 Puppet 在 接 入 层 的 100 台 服务 器 上 安装 
Apache 软 件 ， 按 照 我 们 之 前 掌握 的 知识 ， 只 能 通过 Puppet 在 这 些 服务 器 上 安装 Apache 软 件 ， 并 没有 提 及 如 何 差异 化 管理 它们 的 配置 文件 信息 。 但 是 在 日 常 运 维 工 作 中 确实 有 很 多 这 样 的 需求 ， 如 管理 不 同 
机 器 配置 文件 中 的 IP、Apache 的 连接 数 和 虚拟 主机 等 ， 它 们 各 自 有 各 自 相对 独立 的 差异 化 配置 ， 如 果 要 管理 这 些 差异 配置 的 话 ， 显 然 之 前 掌握 的 知识 不 能 满足 需求 ， 这 时 就 可 以 通过 ERB 模 板 和 模板 语言 3 
管理 这 些 差异 化 服务 器 配置 ， 这 就 是 ERB 模 板 的 主要 应 用 场景 。 


8.2 ”ERB 语言 


本 节 主 要 结合 Puppet 配 置 管理 功能 来 介绍 ERB 语 言 。 首 先 来 初 识 ERB 模 板 ， 对 ERB 模 板 目录 结 构 和 使 用 先 做 一 个 基本 的 了 解 ， 然 后 再 分 别 了 解 一 下 ERB 语 言 中 的 变量 、 条 件 语 句 、 循 环 语 句 和 函数 。 关 
于 ERB 语 言 ， 更 多 信息 可 以 参考 官方 网 站 http://ruby-doc.org/stdlib-2.1.0/libdoc/erb/rdoc/ERB.html。 


8.2.1 初 识 ERB 模 板 


在 Puppet 配 置 管理 系统 中 ERB 模 板 的 体现 就 是 一 个 文本 文件 ， 它 以 .erb 作 为 扩展 名 来 标示 它 的 用 途 。 如 从 Master 同 步 resolve.conf 域 名 解析 的 配置 文件 到 Agent 上 ， 代 码 如 下 所 示 : 


file { "/etc/resolve.conf": 
content => template('resolve/resolve.erb'), 


} 


file 资 源 的 标题 指定 了 同步 文件 (/etc/resolve.conf) 的 目标 路 径 ，content 属 性 调用 template 函 数 指定 了 (resolve/resolve.erb) 模板 文件 在 Master 的 源 路 径 (这 里 模板 文件 的 路 径 可 以 使 用 绝对 路 径 
也 可 以 使 用 相对 路 径 ， 相 对 路 径 通常 用 于 C/S 架 构 ， 绝 对 路 径 通常 用 于 单机 ， 如 puppet apply 方 式 ) ， 执 行 file 资 源 后 /etc/resolve.conf 配 置 文件 就 会 根据 resolve/resolve.erb 模 板 文件 中 的 内 容 进 行 同步 。 


还 可 以 在 resolve.erb 模 板 中 追加 条 件 语句 ， 让 某 些 机 器 在 符合 某 些 条 件 后 才 会 生成 最 终 文 件 。 


<% if Qin Var %> 
nameserver 172.16.1.27 
<% end 多 > 


从 Master 同 步 文件 到 Agent， 我 们 也 曾 介 绍 过 file 资 源 中 的 source 属 性 ， 与 template 函 数 调 用 模板 形式 ， 两 者 相 比 都 可 以 实现 同步 文件 的 功能 ， 但 是 过 程 和 结果 却 不 一 样 ，file 资 源 的 source 属 性 同步 文 
件 通 过 Puppet 的 文件 协议 ， 将 文件 由 源 路 径 同步 到 目的 路 径 ， 但 是 它 并 不 能 更 改 文件 中 的 内 容 ， 而 template 函 数 同 步 文件 的 同时 会 参考 模板 文件 内 容 ， 并 融入 了 编程 语言 ， 从 而 可 以 实现 根据 需求 来 定制 
同步 文件 与 内 容 ， 这 样 就 更 加 灵活 了 ， 也 为 差异 化 配置 提供 了 更 多 的 发 挥 空间 。 


ERB 语 言 常见 语法 的 介绍 如 表 8-1 所 示 。 笔 者 会 在 后 续 小 节 中 详细 介绍 它 的 使 用 方法 和 案例 。 


表 8-1 ERB 语 言 常见 标记 


<%= Ruby expression %> 


等 辣 于 <%， 开 始 标 签 
等 同 于 %>， 闭 合 标签 


<% Ruby code %> 


<%# comment %> 


8.2.2 变量 


了 解 了 puppet 的 ERB 模 板 后 ， 再 来 了 解 一 下 它 在 ERB 模 板 中 的 变量 。ERB 语 言 支持 变量 ， 变 量 即 可 以 改变 的 量 。 在 ERB 模 板 语言 中 变量 以 “<%=” 作 为 开始 ， 以 “%>” 作 为 结束 ， 中 间 可 以 写 变量 的 
名 字 ， 如 “<%=ip%>” 中 的 ip 就 是 一 个 变量 。 


我 们 来 看 一 下 Puppet 是 如 何 将 变量 传 入 ERB 模 板 的 。 以 修改 /etc/resole.conf 文 件 为 例 ， 通 过 Puppet 代 码 将 变量 传 入 模板 ， 并 最 终 修改 /etc/resole.conf 文 件 。 以 下 为 Puppet 代 码 文件 和 和 ERB 模板 文 
件 ， 首 先 来 看 Puppet 代 码 文 件 ， 编 辑 /etc/puppet/modules/resole/manifests/resole.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


$ip 1 = "192.168.1.7" 
$ip 2 = "192.168.1.67" 
file { "/etc/resolve.conf": 


content => template('resolve/resolve.erb'), 


} 


在 resole.pp 文 件 中 声明 变量 $ip_1 和 $ip_ 2， 并 分 别 赋值 ， 将 192.168.1.7 赋 值 给 $ip_1 变 量 ， 将 192.168.1.67 赋 值 给 $ip_ 2 变量 ;然后 调用 file 资 源 ，file 资 源 标题 /etc/resolve.conf) 为 要 修改 的 目标 文件 ， 
资源 中 的 content 属 性 指定 ERB 模 板 的 位 置 ， 这 里 可 以 写 相 对 路 径 也 可 以 写 绝对 路 径 ， 如 果 写 相对 路 径 Puppet 会 到 /etc/puppet/modules/ (模块 名 ) 目录 /下 寻找 *.erb 文 件 ， 如 果 写 绝对 路 径 Puppet 就 会 
直接 加 载 绝 对 路 径 的 文件 名 。 这 里 以 相对 路 径 的 形式 来 编辑 erb 文 件 。 接 着 看 ERB 模 板 文件 的 内 容 ， 编 辑 /etc/puppet/modules/resole/templates/resolve.erb， 将 以 下 内 容 追 加 到 文件 中 。 


nameserver <%= ip 1 %> 
nameserver <%= ip 2 %> 


resolve.erb 文 件 中 的 <%=ip_1%> 和 <%=ip_2%> 表 示 变 量 名 ， 它 们 对 应 的 变量 值 是 resolve.pp 文 件 中 的 $ip_1 和 $ip_2 的 值 ， 即 变量 <%=ip_1%> 的 值 为 192.168.1.7， 变 量 <%=ip_2%> 的 值 为 
192.168.1.67。 通 过 puppet apply/etc/puppet/modules/resole/manifests/resole.pp 方 式 来 执行 文件 ， 结 果 如 下 : 


#puppet apply /etc/puppet/modules/resole/manifests/resole.pp 
notice: /Stage[main]//File[/etc/reslolve.conf]/content: content changed '{md5}7b0140d14347aacc94c89a76be6f9cca' to '{md5}a3ecce9717£32bf1b3001195a9c306ae' 
notice: Finished catalog run in 0.02 seconds 


成 功 执行 后 ， 可 通过 cat 命 令 来 确认 一 下 PUppet 的 执行 结果 ， 将 /etc/resolve 域 名 解析 文件 按照 我 们 的 resolve.erb 模 板 文件 进行 解析 ， 生 成 的 最 终结 果 如 下 : 


# cat /etc/resolve.conf 
nameserver 192.168.1.7 
nameserver 192.168.1.67 


8.2.3 ”if...elsif...else 条 件 语句 


下 面 来 介绍 一 下 ERB 模 板 语言 的 条 件 语句 if..…elsif...else 的 语法 和 案例 。 


1.if...elsif...else 语 法 


if...elsif...else 条 件 语句 需要 放 入 以 <% 作 为 开始 ， 以 %> 作 为 结束 的 符号 内 。 另 外 需要 注意 <%if 条 件 表达 式 %> 最 后 要 以 <%end%> 作 为 结束 。 以 下 为 if.…elsif..…else 的 语法 。 


<% if 条 件 表达 式 1 $> 
执行 语句 1 

< 和 elsif 条 件 表达 式 2 $> 
执行 语句 2 

<% else $> 
执行 语句 3 

<% end %> 


以 上 为 if...elsif.…else 条 件 判断 语句 的 语法 ， 大 致 的 判断 流程 如 下 : 条 件 语句 首先 判断 条 件 表达 式 1 是 否 成 立 ， 如 果 成 立 则 加 载 执行 语句 1; 如 果 不 成 立 则 判断 条 件 表达 式 2 是 否 成 立 ， 如 果 成 立 则 加 载 执行 
语句 2; 如 果 以 上 两 个 条 件 都 不 成 立 ， 最 后 加 载 执 行 语句 3。 


2.if...elsif...else 案 例 


以 postfix 的 配置 文件 模板 为 例 来 介绍 条 件 语句 的 使 用 场景 。 在 安装 postfix 时 根据 操作 系统 发 行 版 本 ， 增 加 不 同 特性 的 配置 内 容 。 首 先 来 看 一 人 postfix 的 Puppet 代 码 ， 编 
辑 /etc/puppet/modules/postfix/manifests/postfix.pp 文 件 ， 内 容 如 下 : 


Class Postfix::installi 
Package{ ["postfix","mailx"]: 
ensure => present, 


} 


Class postfix::config{ 
file{"/etc/postfix/master.cf": 
ensure => prensent, 
content => template ("postfix/master.erb"), 
. 
} 


postfix::install 类 的 作用 为 安装 postfix 邮 件 服务 器 程序 ，postfix::config 类 的 作用 为 同步 master.cf 到 Agent 服 务 器 ， 并 根据 Agent 的 操作 系统 发 行 版 本 生成 相应 的 配置 文件 。 来 看 一 下 master.erb 模 板 文 
件 内 容 , 编辑/etc/puppet/modules/postfix/templates/main.cf.erb 配 置 文 件 ， 内 容 如 下 : 


<% if operatingsystem == "FreeBSD" $%> 

# FreeBSD 

alias maps = hash:/etc/mail/aliases 
alias database = hash:/etc/mail/aliases 
daemon directory = /usr/local/libexec/postfix 
command directory = /usr/local/sbin 
<% elsif operatingsystem == "RedHat" %> 
# RedHat 

alias maps = hash:/etc/aliases 

alias database = hash:/etc/aliases 
daemon directory = /usr/libexec/postfix 
command directory = /usr/sbin 

< else 5> 

# Default 

alias maps = hash:/etc/aliases 

alias database = hash:/etc/aliases 
daemon directory = /usr/lib/postfix 
command directory = /usr/sbin 

<s end %> 


在 postfix.pp 文 件 中 并 没有 声明 operatingsystem 变 量 ， 但 在 main.cf.erb 模 板 文件 中 仍然 能 使 用 operatingsystem 变 量 ， 这 是 因为 它 是 Puppet 的 默认 变量 ，Master 通 过 facter 程 序 收集 系统 的 信息 ， 并 
保存 到 系统 默认 变量 中 。 在 Puppet 中 可 以 直接 调用 这 些 变量 信息 。 以 上 模板 程序 的 含义 是 当 变 量 operatingsystem 的 值 为 FreeBSD 时 ， 加 载 FreeBSD 系 统 的 目录 配置 文件 结构 ; 当 系统 变量 
operatingsystem 的 值 为 RedHat 系 统 时 ， 则 加 载 RedHat 系 统 的 目录 配置 文件 结构 ; 如 果 都 未 匹配 到 ， 则 加 载 默认 目录 配置 文件 结构 。 为 了 看 懂 配 置 文件 的 变化 ， 笔 者 通过 “# ”注释 功能 在 不 同 操作 系统 发 
行 版 本 中 增加 了 相应 的 注释 信息 ， 执 行 puppet apply/etc/puppet/modules/postfix/manifests/postfix.pp 代 码 。 首 先 通 过 facter 命 令 看 一 下 我 们 操作 系统 发 行 版 本 ， 然 后 再 来 看 一 下 Puppet 根 据 操作 系统 
发 行 版 本 最 终生 成 的 配置 文件 的 内 容 。 


通过 facter 命 令 来 查看 一 下 本 机 的 operatingsystem 的 变量 值 (关于 facter 命 令 的 详细 内 容 会 在 第 9 章 详细 介绍 ， 读 者 在 这 里 只 需要 了 解 一 下 就 可 以 ) 。 以 下 为 facter 命 令 的 结果 。 


# facter | grep operatingsystem 
operatingsystem => SLES 


operatingsystem= > SLES 表 示 我 们 的 系统 发 行 版 本 为 SLES， 即 Suse 发 行 版 本 。 接 着 通过 cat 命 令 来 查看 一 下 通过 Puppet 模 板 生成 的 /etc/postfix/master.cf 配 置 文件 的 内 容 。 


# cat /etc/postfix/master.cf 
#default 

alias maps = hash:/etc/aliases 
alias database = hash:/etc/aliases 
daemon directory = /usr/1ib/Postfix 
command directory = /usr/sbin 


可 以 看 到 ， 模 板 中 最 终 的 结果 就 是 #default 的 内 容 ， 因 为 我 们 的 发 行 版 本 并 不 是 Freebse 和 RedHat。 


8.2.4 _ each 循环 


ERB 模 板 语言 中 的 循环 语句 为 each 循 环 。 下 面 来 介绍 一 下 each 循 环 的 语法 和 案例 。 


1.each 循 环 语法 


each 循 环 语句 以 <% 作 为 开始 ， 以 -%> 作 为 结束 。 格 式 如 下 : 


<% [1,2,3,4,5,6,7,8,9] .each do |vall -%> 
<$= val 多 > 
<$ end -%> 


以 上 是 each 循 环 语句 的 语法 ， 其 中 数组 [1，2，3，4，5，6，7，8，9] 作 为 数组 的 输入 ，val 作 为 遍历 的 值 ， 它 会 依次 遍历 1~ 9 的 值 并 输出 。 这 就 是 each 循 环 的 主 用 途 一 一 遍历 数组 。 
2.each 循 环 案例 


再 来 看 一 下 Puppet 是 如 何 向 each 循 环 传递 变量 的 。 仍 然 以 resolve.conf 域 名 解析 文件 为 例 ， 通 过 Puppet 数 组 向 ERB 模 板 文 件 传 值 变量 来 生成 新 的 resolve.conf 文 件 。 首 先 来 看 Puppet 代 码 文件 ， 然 后 
再 来 看 ERB 模 板 文 件 。 编 辑 /etc/puppet/resolve_array.pp 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


$arr value=["192.168.1,1","192.168.1.2","192.168.1.3"] 
file { "/etc/resolve.conf": 
content => template('resolve/resolve.erb'), 


} 


声明 $arr_value 数 组 并 追加 IP 值 为 "192.168.1，1"， "192.168.1.2",， "192.168.1.3"]; 调用 file 资 源 指定 修 为 配置 文件 (/etc/resolve.conf) 位 置 ; 调用 template 函 数 指定 ERB 模 板 
('resolve/resolve.erb') 的 位 置 。 整 个 代码 逻辑 的 最 终 的 结果 是 将 IP 数 组 值 传 入 resolve.erb 文 件 中 ， 并 通过 resolve.erb 模 板 文件 中 的 逻辑 来 继续 处 理 。 


继续 来 看 ERB 模 板 文件 ， 编 辑 /etc/puppet/modules/resolve/templates/resolve.erb 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


<% arr Value.each do |vall -%> 
nameserver <%= val %> 
<% end -%> 


each 循 环 会 根据 Puppet 的 arr_value 变 量 数组 进行 遍历 ， 并 将 数组 内 容 依次 追加 到 /etc/resolve.conf 文 件 中 。 执 行 puppet apply resolve_array.pp 文 件 后 ， 通 过 cat 命 令 来 确认 看 一 下 最 终 的 结果 。 


# cat /etc/resolve.conf 
nameserver 192.168.1.1 
nameserver 192.168.1.2 
nameserver 192.168.1.3 


可 以 看 到 ， 已 经 将 $arr_value 数 组 变量 的 值 通过 each 循 环 写 入 了 /etc/resolve.conf 配 置 文件 中 ， 通 常 当 变量 比较 多 而 且 它们 又 完成 一 类 功能 的 时 候 可 以 使 用 这 种 循环 方式 。 


8.2.5 函数 


在 ERB 模 板 中 还 支持 直接 调用 Facter 的 变量 与 Puppet 的 函数 值 ，ERB 模 板 通过 scope::lookupvar 的 方式 来 支持 扩展 更 多 的 功能 。 首 先 来 看 一 下 如 何 调用 Facter 中 的 变量 。 如 在 ERB 模 板 中 调用 ipaddress 
变量 ， 变 量 中 存放 了 机 器 的 IP 地 址 ， 可 以 通过 <%=scope::lookupvar(ipaddress')%> 的 方式 直接 调用 并 应 用 到 ERB 模 板 中 。 


再 来 看 如 何在 ERB 模 板 中 调用 Puppet 函 数 ， 在 ERB 模 板 调用 Puppet 函 数 必 须 以 scope.function_ 作 为 开始 ， 后 接 Puppet 的 函数 名 (关于 Puppet 更 多 的 函数 请 参考 第 6 章 函数 介绍 ) 。 如 我 们 调 
Puppet 的 warning 函 数 ， 此 函数 的 作用 是 打印 信息 ， 它 的 调用 方式 为 scope.function_warning。 仍 然 以 resolve.conf 文 件 为 例 介 绍 ERB 模 板 中 调用 Puppet 函 数 的 方法 ， 将 #this is resolve.conf 信 息 追 加 到 
生成 的 模板 文件 中 。 首 先 看 一 下 Puppet 代 码 ， 编 辑 /etc/puppet/modules/resole/manifests/resolve， 内 容 如 下 : 


$arr value=["192.168.1,1","192.168.1.2","192.168.1.3"] 
file { "/etc/resolve.conf": 
content => template('resolve/resolve.erb'), 


} 


接着 来 看 ERB 模 板 文 件 ， 编 辑 /etc/puppet/modules/resole/templates/resolve.erb 文 件 ， 将 以 下 内 容 追 加 到 文件 中 。 


<%= scope.function warning (["#this is resove.conf"]) %> 
<$ arr value.each do |val|l -%> 

nameserver <%= val %> 

<$ end -%> 


我 们 将 <%=scope.function_warning(["#his is resove.conf"])%> 追 加 到 模板 文件 中 ， 它 的 含义 是 将 “#this is resove.conf” 信 息 一 并 编译 到 模板 中 。 执 行 resolve_array.pp 文 件 后 ， 通 过 cat 命 令 来 查 
看 一 下 结果 。 


# cat /etc/resolve.conf 
# this is resove.conf 

nameserver 192.168.1.1 
nameserver 192.168.1.2 
nameserver 192.168.1.3 


可 以 看 到 “#this is resove.conf” 内 容 已 经 被 编辑 追加 到 了 生成 的 文件 中 。 这 里 还 可 以 通过 它 调用 更 多 的 Puppet 函 数 来 为 我 们 解决 一 些 日 常 工作 中 的 实际 问题 。 关 于 Puppet 函 数 的 更 多 信息 请 参考 官 


方 网 站 http://docs.puppetlabs.com/guides/templating.html。 


8.3 ”通过 ERB 模 板 配置 Apache 虚 拟 主机 


本 节 以 案例 的 形式 来 介绍 如 何 通过 ERB 模 板 配置 Apache 虚 拟 主机 。 具 体 的 实现 步骤 如 下 。 


步骤 1 在 Master 上 创建 配置 文件 和 目录 。 


mkdir -p /etc/puppet/manifests/httpd/templates/ 

mkdir -~p /etc/puppet/manifests/httpd/files/ 

mkdir ~-p /etc/puppet/manifests/httpd/tests/ 

mkdir -p /etc/puppet/manifests/httpd/spec/ 

touch /etc/puppet/manifests/httpd/manifests/init .pp 

touch /etc/puppet/manifests/httpd/templates/httpd.conf.vhost.reb 


非 井 井 井 井 非 


在 第 5 章 中 曾经 介绍 过 基础 模块 目录 结果 ， 这 里 就 不 袭 述 了 。 


步骤 2 在 Master 上 编写 配置 Apache 虚 拟 主 机 的 代码 。 编 辑 /etc/puppet/manifests/httpd/manifests/init.pp 文 件 ， 内 容 如 下 : 


class apache: :parameter{ 

$listenaddress = "${ipaddress}" 

$server admin = "admin@qq.com" 

$server name = "web.puppet .example.com" 
$document root = "/var/www/html/puppet" 
i 


apache::parameter 类 存放 了 虚拟 主机 的 变量 值 。 下 面 来 简单 分 析 一 下 虚拟 主机 的 变量 值 含义 。 
“ listenaddress: 使 用 了 Puppet 的 默认 ${ipaddress} 变量 ， 此 值 是 Agent 机 器 的 IP。 
“ server_admin; 虚拟 主机 的 管理 员 邮 箱 。 
“ server_name; 虚拟 主机 的 域名 。 


* document_toot: 虚拟 主机 的 发 布 目录 。 


class httpd inherits apache: :parameter{ 
package { "apache": 
ensure => installed, 
} 
file { "/usr/local/apache2/conf/httpd.conf™": 
mode =>"'777', 
content => template ("puppet:///files/httpd/httpd.conf .vhost.reb"), 
notify => Service['httpd'], 
} 
service { "httpd": 
ensure => running, 
hasrestart => true 
hasstatus => true 
} 
} 


httpd 类 继承 了 apache::parameter 类 的 相关 变量 ，httpd 类 中 包含 了 3 个 资源 。 下 面 简单 分 析 一 下 这 3 个 资源 的 作 
“ Package 资源 : 主要 用 于 Apache 的 安装 。 


“file 资源 : 设置 文件 权限 为 可 读 、 可 写 、 可 执行 。 将 apache::parameter 类 中 变量 信息 赋值 到 http.conf.vhost.reb 模 板 变 量 中 ， 并 同步 到 指定 服务 器 的 /ust/local/apache2/conf/httpd、conf。 


“ service 资 源 : 主要 用 于 同步 http.conf 配 置 文件 后 重启 Apache。 


Puppet 的 代码 文件 都 准备 好 了 ， 再 来 看 一 下 Apache 的 /etc/puppet/manifests/httpd/templates/httpd.conf.vhost.reb 模 板 配置 文件 。 由 于 内 容 比较 多 我 们 只 截取 了 虚拟 主机 配置 部 分 。 


<VirtualHost <%= listenaddress %>:80> 
ServerAdmin <%= server admin 多 > 
DocumentRoot <%= document root $> 
ServerName <%= server name $> 
ErrorLog logs/demo.neoease.com-error.1og 
CustomLog logs/demo.neoease.com-access.10g common 
</VirtualHost> 


修改 好 httpd.conf.vhost.erb 文 件 后 ， 就 可 以 通过 Ruby 提 供 的 ERB 工 具 来 确认 httpd.conf.vhost.erb 文 件 的 语法 是 否 正 确 了 。 


# erb -P -x -T '~' httpd.conf.vhost.reb | ruby -c 
Syntax OK 


Syntax OK 表示 httpd.conf.vhost.reb 模 板 文件 没有 语法 错误 ,已 经 可 以 使 用 了 。 


步骤 3 ”在 Master 上 修改 /etc/puppet/manifests/site.pp 文 件 ， 增 加 以 下 内 容 : 


node web.puppet .example.com { 
include httpd 
} 


当 Agent 为 web.puppet.example.com 并 访问 Master 时 ， 会 自动 加 载 httpd 基 础 模块 。 


步骤 4 在 Agent 通 过 puppet agent--server=puppet.example.com--test 来 同步 Master 的 配置 时 ，Master 会 优先 安装 Apache， 然 后 同步 httpd.conf 配 置 文件 ， 根 据 Apache 模 板 同步 Apache 的 虚拟 
机 配置 ， 最 后 重启 Agent 的 Apache 守 护 进程 。 


第 9 章 ” 走 进 Facter 


笔者 曾 在 第 6 章 中 介绍 过 Facter， 但 只 介绍 了 它 的 常用 变量 而 已 。 我 们 也 曾 在 很 多 章 中 看 到 Facter 的 身影 ， 它 是 Puppet 配 置 管理 服务 器 中 的 重要 工具 成 员 之 一 。 本 章 将 会 详细 介绍 Facter 这 款 强 大 的 工 
具 。 为 什么 我 们 通过 Puppet 配 置 管理 工具 来 管理 服务 器 时 ， 操 作 系统 对 我 们 来 说 是 透明 的 ”为 什么 Puppet 配 置 管理 工具 可 以 收集 并 读 取 到 Agent 的 机 器 信息 Puppet 如 何 通过 收集 到 的 Agent 信 息 来 区 别 化 
管理 ?这 一 系列 的 问题 在 本 章 都 会 找到 相应 的 答案 。 通 过 对 本 章 的 学 习 ， 读 者 还 会 了 解 到 Facter 不 仅 可 以 收集 Agent 上 的 信息 ， 还 可 以 通过 其 他 的 编程 语言 来 协助 Facter 收 集 更 多 的 扩展 信息 。 本 章 首先 介 
绍 Facter 的 作用 、 版 本 分 支 和 使 用 方式 等 ， 让 大 家 来 认识 它 ; 然后 采用 分 组 的 方式 介绍 Facter 中 的 变量 ， 让 读者 更 方便 记 住 它们 ; 最 后 介绍 扩展 Facter 常 见 的 3 种 方式 。 


9.1 ”Facter 简 介 


Facter 是 一 款 扩展 性 强 且 功 能 强大 的 跨 平 台 的 系统 性 能 分 析 收 集 工 具 ， 由 Ruby 语 言 编 写 。 它 可 以 收集 机 器 的 信息 ， 并 将 收集 到 的 信息 作为 变量 传 给 Puppet 使 用 (在 Puppet 中 这 些 变 量 均 为 top 域 变 
量 ， 可 以 在 Puppet 语 言 中 的 任何 位 置 调用 它们 。 另 外 在 Puppet 中 又 将 这 些 收 集 到 的 变量 称 为 Fact) 。Facter 中 收集 的 变量 中 包含 系统 的 主机 名 、IP 地 址 与 硬件 地 址 、 操 作 系统 发 行 版 本 、 内 核 版 本 、 内 存 
空间 和 磁盘 空间 等 信息 ， 如 果 Facter 收 集 的 变量 中 不 能 满足 我 们 的 需求 ， 还 可 以 通过 Ruby 语 言 来 扩展 它 的 变量 ,或 者 通过 导入 环境 变量 的 方式 来 追加 更 多 的 信息 ， 这 就 是 Facter。 关 于 Facter 更 多 信息 可 以 
参考 http://docs.puppetlabs.com/facter/。 


9.1.1 Facter 版 本 


截至 本 书 出 版 前 ，Puppet 官 网 为 我 们 提供 4 种 Facter 的 版 本 ， 分 别 是 1.5*、1.6*、1.7* 和 2.0.* 版 本 。 下 面 来 简要 介绍 一 下 这 4 种 版 本 。 


“ Facter 1.5.* 版 本 : 为 Facter 早 起 版 本 ， 它 存在 大 量 的 pug， 部 分 的 bug 甚 至 会 导致 服务 器 产生 僵尸 进程 ， 最 终 导 致 机 器 服务 的 不 可 用 ， 所 以 并 不 推荐 使 用 。 


“ Facter 1.6.* 版 本 : 目前 提供 了 86 个 变量 ， 此 版 本 支持 Puppet 3.* 与 Puppet 2.7.* 版 本 。 它 与 Facter 1.5.* 版 本 比较 ， 修 复 了 大 量 的 bug， 同 时 增加 了 一 些 系统 变量 。 关 于 Facter 1.6.* 小 版 本 变化 ， 更 多 信息 请 参 


考官 方 网 http://docs.puppetlabs.com/facter/1.6/release_notes.html。 


“ Facter 1.7.* 版 本 : 目前 提供 94 个 变量 ， 此 版 本 支持 Puppet 3.* 与 Puppet 2.7.* 版 本 。Facter 1.7.* 版 本 中 修复 了 1.6.* 版 本 中 的 很 多 bug， 与 Facter1.6.* 版 本 相 比 较 它 还 增加 了 一 些 常用 的 系统 变量 。 更 令 人 振奋 
的 是 它 还 增加 了 External Facts 的 功能 (读者 可 以 理解 为 “扩展 变量 ”) ， 它 可 以 通过 其 他 的 编程 语言 或 数据 格式 ， 如 Python、Shell、Ruby 和 json、yaml 结 构 化 文件 等 方式 ， 并 按照 规定 的 格式 导入 Facter 中 来 扩 
展 它 本 身 的 变量 。 这 一 功能 也 让 一 些 熟 悉 各 种 编程 语言 的 运 维 工程 师 们 能 更 方便 灵活 地 扩展 Facter 的 变量 。 关 于 Facter1.7.* 版 本 变化 的 更 多 信息 ， 请 参考 官方 网 


站 http://docs.puppetlabs.com/facter/1.7/release_notes.html。 


“ Facter 2.0.* 版 本 : Facter 2.0.* 版 本 在 1.7.* 版 本 的 基础 上 做 了 部 分 的 改进 与 bug 的 修复 ， 另 外 还 增加 了 一 些 新 的 特性 ， 如 在 之 前 除 返 回 字符 串 外 ， 还 对 整数 、 浮 点 数 、 布 尔 值 、nil ( 空 值 ) 、 字 符 串 、 数 组 
和 哈 希 做 了 支持 。 当 Agent 为 微软 系列 操作 系统 ， 通 过 operatingsystemrelease 变 量 ， 可 以 收集 到 更 详细 的 操作 系统 ， 如 Windows XP、Windows 2003、Windows 2003R2、Windows Vista、Windows 2008、Window 
7、Windows 2008R2、Windows 8 和 Windows 2012 等 。 关 于 Facter2.0 版 本 变化 的 更 多 信息 ， 请 参考 官方 网 站 http://docs.puppetlabs.com/facter/2.0/release_notes.html。 


9.1.2 ”Facter 参 数 与 应 用 


下 面 介 绍 Facter 的 参数 及 其 应 用 方法 。 


1.Facter 参 数 介绍 


由 于 本 书 的 案例 基本 使 用 了 Puppet 2.7 版 本 ， 所 以 我 们 以 Facter 1.7.4 版 本 为 例 来 介绍 Facter 命 令 参数 。 


-y, --yaml 
-j,--json 
-="trace 


-~-external-dir DIR 
--no-external-dir 
-d, --debug 


-tr —-timing 

-Pp, ~--puppet 

-v, --version 

-h, --help 

上 面 参 数 的 作用 如 下 。 


“ yaml 参 数 : 通过 yaml 格 式 向 Facter 导 入 变量 ， 可 以 简写 为 -y 的 形式 。 
“ json 参 数 : 通过 json 格 式 向 Facter 导 入 变量 ， 可 以 简写 为 -j 的 形式 。 

“ trace 参数 : 开启 后 台 traces 功 能 。 此 功能 通常 用 于 追踪 Facter 调 用 相关 库 文件 的 过 程 。 
“ external-dir 参 数 :; 导入 扩展 变量 所 在 的 目录 或 文件 。 
:no-external-dir 参 数 : 关闭 导入 扩展 变量 所 在 的 目录 或 文件 。 
“ debug 参 数 : 打开 调试 模式 ， 简 写 为 -4。 以 下 为 debug 的 案例 。 


里 介绍 导入 变量 失败 应 该 如 何 的 处 理 。 如 通过 Shell 脚 本 导入 Facter 的 External Facts 的 方法 如 下 : 


通过 文件 或 脚本 可 以 导入 Facter 的 External Facts (在 9.3 节 中 介绍 ) ， 这 


#!/bin/bash 
echo "keyl-valuel" 


变量 失败 ， 可 以 通过 facter--debug 来 查找 问题 的 原因 。 具 体 的 查找 方式 如 下 : 


http://www.hzcourse.com/ resource/readBook?path=/openresources/ teach ， ebook/uncompressed/15031/0EBPS/Text/.. 

# 目标 文件 /etc/facter/facts.d/sample.txt 不 符合 语法 所 以 返回 了 空 的 数据 

Fact file /etc/facter/facts.d/sample.txt was parsed but returned an empty data set 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 


之 所 以 会 失败 ， 是 因为 脚本 并 不 符合 Facter 的 External Facts 语 法 格式 。 


以 上 为 debug 参 数 输出 的 结果 ， 通 过 输出 结果 我 们 可 以 知道 问题 的 原因 。 


“ timing 参 数 : 显示 每 个 变量 的 加 载 时 间 ， 单 位 是 毫秒 ， 可 以 简写 为 -t 的 形式 。 
“ puppet 参 数 : 加 载 Puppet 的 库 文件 ， 可 以 简写 为 -p 的 形式 。 
“version 参 数 : 输出 Facter 的 版 本 信息 ， 可 以 简写 为 -v 的 形式 。 


"help 参数 : 输出 Factetr 的 帮助 信息 ， 可 以 简写 为 -h 的 形式 。 


2.Facter 应 用 


这 一 小 节 我 们 来 看 一 下 如 何 使 用 Facter。 在 系统 终端 键入 facter， 会 看 到 如 下 输出 : 


# facter 

architecture => i386 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 
ipaddress => 172.16.182.129 加 

is virtual => true 

kernel => Linux 

kernelmajversion => 2.6 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 
operatingsystem => CentOS 加 

operatingsystemrelease => 5.5 
physicalprocessorcount => 0 

Processor0 => Intel (R) Core (TM)2 Duo CPU 
processorcount => 1 

Productname => VMware Virtual Platform 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/O0EBPS/Text/... 


P8800 @ 2.66GHz 


由 于 输出 较 多 ， 这 里 笔者 做 了 截取 。 通 过 输出 的 数据 我 们 可 以 看 到 ，Facter 收 集 到 的 系统 信息 以 key= >values 作 为 输出 格式 ， 其 中 key 为 收集 到 的 变量 名 ， 它 可 以 在 Puppet 中 作为 变量 使 用 ，value 为 收 
集 到 的 变量 值 。 如 以 上 输出 中 的 ipaddress=>172.16.182.129，ipaddress 为 key 表 示 收 集 Agent 的 IP，172.16.182.129 为 values 表 示 收 集 到 的 Agent 具 体 值 。 
9.1.3 ”Facter 与 Puppet 结 合 

Facter 收 集 Agent 信 息 后 ， 会 将 这 些 信息 传 给 Master， 并 由 Puppet 语 言 对 数据 进行 分 类 与 整合 ， 最 终 根 据 这 些 分 类 后 的 信息 进行 差异 化 配置 管理 Agent， 这 也 是 Facter 的 主要 应 用 场景 。 以 下 为 


变量 的 代码 片段 。 


Puppet 语 言 中 结合 Facter 变 


case $: :operatingsystem { 
'CentOS': { include centos } 
'MacOS': { include mac } 


} 


以 上 代码 片 就 是 对 收集 后 的 Agent 信 息 进行 分 类 处 理 。 


中 operatingsystem 变 量 值 为 操作 系统 的 发 行 版 本 ， 我 们 可 以 通过 “:: 


方式 来 调用 系统 top 域 的 变量 ， 也 就 是 operatingsystem 变 量 ， 变 量 值 


为 Agent 操 作 系统 发 行 版 本 。 上 述 整 个 代码 片段 的 含义 是 判断 操作 系统 的 发 行 版 本 ， 并 根 


9.2 ”Facter 常 用 变量 


居 操 作 系统 的 发 行 版 本 导入 不 同 的 modules 基 础 模块 文件 ， 最 终 实现 分 类 管理 的 功能 。 


本 节 主 要 介绍 Facter 收 集 到 服务 器 的 变量 信息 ， 这 里 我 们 以 Facter 1.7.4 版 本 为 例 。 


前 Facter 1.7.4 版 本 提供 了 94 个 变量 ， 由 于 变量 比较 多 所 以 这 里 不 全 部 介绍 ， 只 选 了 一 些 常用 的 变量 ， 并 将 这 些 变 


量 按 功能 进行 了 划分 ， 然 后 针对 划分 后 的 分 组 分 别 进行 介绍 。 这 里 将 Facter 常 
kernel 版 本 相关 变量 、SELinux 相 关 变 量 等 。 


9.2.1 CPU 相关 变量 


CPU 是 计算 机 的 重要 组 成 部 分 。 冯 - 诺 依 曼 曾经 这 样 描述 : 计算 机 由 控制 器 、 运 算 器 、 


变量 分 为 了 5 组 ， 它 们 分 别 是 CPU 相 关 变 量 、 


内 存 与 Swap 相关 变量 、 网 络 接口 与 硬件 地 址 相关 变量 、 系 统 发 行 版 本 变量 与 


存储 器 、 输 入 设备 、 输 出 设备 五 大 部 分 组 成 。 运 算 器 指 的 就 是 CPU， 随 着 硬件 的 发 展 更 新 ， 现 代 的 CPU 也 变 得 越 来 


越 强劲 。 通 过 facter 可 获取 Agent 的 CPU 相关 的 相关 变量 ， 
能 加 载 不 同 的 配置 文件 ， 以 充分 利用 服务 器 的 性 能 。 


以 下 为 通过 Facter 收 集 的 CPU 的 相关 变量 。 


physicalprocessorcount => 2 
Processorcount => 8 


Processor0 => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 
processorl => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 
processor2 => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 
Processor3 => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 
Processor4 => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 
processor5 => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 
processor6 => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 
processor7 => Intel (R) Xeon (R) CPU E5506 @ 2.13GHz 


通常 获取 CPU 的 信息 用 来 了 解 机 器 的 性 能 ， 并 根据 获取 到 的 性 能 数据 对 服务 器 进行 差异 化 配置 。 以 Web 服 务 器 为 例 ， 可 以 根据 收集 到 Agent 的 性 


通过 如 表 9-1 所 示 的 变量 说 明 我 们 可 以 了 解 到 ，Agent 为 包含 两 个 物理 CPU、 每 个 物理 CPU 有 4 个 核心 、 票 加 


表 9-1 CPU 相关 变量 


IE 
一 一 


Physicalprocessorcount 
Processorcount 


processor0-7 


9.2.2 ”内 存 与 Swap 相关 变量 


区 ” 


内 存 与 swap (中 文 译 为 “交换 分 
决定 计算 机 速度 的 快慢 的 主 


素 。 


后 共 8 核心 的 Intel 处 理 器 的 机 器 。 


说 明 


说 明 


物理 CPU 个 数 


两 个 物理 CPU 的 核 数 累加 


每 个 核 CPU 详细 信息 


或 者 理解 为 “虚拟 内 存 ”) 也 是 计算 机 的 重要 组 成 部 分 。 还 记得 我 们 在 第 6 章 中 介绍 的 Puppet 语 言 数据 类 型 吧 ? 它们 均 存储 在 系统 的 内 存 中 ， 内 存 与 CPU 一 样 也 是 


期 硬件 发 展 的 短 板 导致 内 存 容量 不 够 ， 为 了 解决 这 个 问题 ， 操 作 系统 在 磁盘 开辟 了 一 个 区 域 ， 这 个 区 域 专门 用 来 缓存 内 存 中 的 数据 ， 这 就 是 swap 分 区 。 在 早期 的 UNIX/Linux 发 行 版 本 中 ， 供 应 商 总 

是 建议 swap 分 区 容量 要 为 内 存 容量 的 2 倍 。 但 是 伴随 硬件 的 发 展 ， 已 经 没有 必要 再 将 swap 分 区 容量 设置 为 内 存 变 量 的 2 倍 了 ， 而 是 根据 机 器 和 机 器 提供 服务 器 的 情况 来 合理 划分 swap 分 区 容量 。 不 过 不 管 如 
何 划分 swap 分 区 容量 ， 都 建议 不 要 小 于 120MB。 

下 面 介绍 通过 Facter 收 集 Agent 的 内 存 与 swap 分 区 容量 的 变量 信息 ， 并 结合 Puppet 语 言 来 计算 系统 共 使 用 了 多 少 内 存 与 swap 分 区 容量 

以 下 为 Facter 收 集 到 机 器 内 存 与 swap 分 区 容量 的 相关 的 变量 。 

内 存 容量 如 下 : 

memoryfree => 15.16 GB 

memorysize => 15.66 GB 

swap 分 区 容量 如 下 : 

swapfree => 1.75 GB 

swapsize => 1.92 GB 

从 表 9-2 中 我 们 了 解 到 了 上 面 4 个 变量 的 具体 作用 。 

表 9-2 ”内 存 与 swap 分 区 相关 变量 说 明 


变 量 
memorysize 物理 内 存 容量 
memoryfree 空闲 的 物理 内 存 容量 


下 面 通过 Puppet 语 言 来 计算 机 器 的 实际 使 用 内 存 与 swap 分 区 容量 的 信息 。 代 码 片段 如 下 : 


# 将 内 存 变量 中 的 GB 单 位 去 掉 

Smem size= regsubst ($memorysize," GB","") 
# 将 至 闲 的 内 存 变量 中 的 GB 单 位 去 掉 

Smem free= regsubst ($memoryfree," GB","") 
# 将 swap 变 量 中 的 GB 单位 去 掉 

$swap size= regsubst ($swapsize," GB","") 
# 将 旦 南 的 Swag 变 量 中 的 GB 单 位 去 措 

$swap free= regsubst ($swapfree," GB","") 


二 计算 入 用 的 内 存 空 间 
Smem result = Smem size - $mem free 

# 计算 使 用 的 swap 空 间 
ee result = $swap size - $swap free 
# 输出 计算 后 的 结果 


notify{"memery is :${mem result}GB and swap is ${swap result}GB":} 


如 以 上 代码 所 示 ， 通 过 Facter 获 取 的 机 器 的 内 存 与 swap 分 区 容量 信息 ， 其 中 G 为 容量 的 数量 级 (1G=1024M) 。 


虚拟 内 存 容 量 
人 困 的 虚拟 内 存 容 量 


swapsize 


swapfree 


通过 Puppet 语 言 计算 使 用 的 内 存 与 swap 已 经 使 用 容量 。 在 计算 前 通过 regsubst 函 数 将 


内 存 与 swap 容 量 输出 的 信息 进行 格式 化 ， 符 合计 算 条 件 后 再 来 计算 。 最 终 计算 后 机 器 的 内 存 的 使 用 空间 为 0.5GB，swap 分 区 的 使 用 空间 为 0.17GB。 结 果 如 下 : 


memery is :0.5GB and swap is 0.17GB 


随 着 我 们 对 Puppet 的 深入 学 习 ， 更 好 的 应 用 方式 是 根据 机 器 配置 的 不 同 ， 来 动态 加 载 服务 的 配置 文件 。 如 Apache、Nginx、Squid 和 Memcached 等 ， 根 据 Agent 的 内 存 与 sawp 使 用 情况 来 动态 加 载 
配置 ， 从 而 提高 Agent 的 内 存 与 sawp 的 利用 率 ， 降 低 服务 器 的 成 本 。 以 Memcached 为 例 ， 使 用 当前 剩余 内 存 的 80% 来 启动 Memcached 的 守护 进程 。 


# 为 了 方便 内 存 间 差 值 的 数学 运算 ,通过 regsubst 函 数 将 Facter 内 存 变量 中 的 GB 单 位 蔡 换 为 空 

Smem free= regsubst ($memoryfree," GB","") 

# 计算 80% 内 存 大 小 

Smem = Smem free * 0.8 

# 通过 exec 资 源 启 动 自 定 义 参数 的 Memcached 守 护 进程 

exec { 'memcached': 
command => "/usr/bin/memcached -d -m $mem -u guest -p 12111 ", 
refreshonly => true, 


} 


9.2.3 ”网 络 接口 与 硬件 地 址 相关 变量 


网 络 接口 与 硬件 地 址 的 作用 是 帮助 机 器 与 外 界 建立 联系 ， 建 立 联系 的 方式 包括 连接 外 部 的 国际 互联 网 与 企业 内 部 网 等 。 下 面 介绍 通过 Facter 来 收集 Agent 的 网 络 接 口 、 接 口 IP 与 硬件 地 址 等 变量 。 
前 章节 介绍 的 知识 中 了 解 到 Puppet 通 过 node 节 点 来 管理 服务 器 ， 但 偶尔 也 需要 更 细 的 分 类 与 管理 ， 这 时 就 可 以 通过 收集 的 Agent 网 络 接口 与 接口 IP 的 信息 进行 更 精细 的 配置 管理 。 


以 下 为 Facter 收 集 的 机 器 网 络 接口 变量 。 


interfaces => eth0vethl,ip6tn10, sit0,tun10 


通过 interfaces 变 量 的 值 可 以 了 解 到 本 机 共有 5 个 网 络 接口 。 


以 下 为 Facter 收 集 的 网 络 接口 IP 与 子 网 掩 码 等 变量 。 


ipaddress => 192.168.1.7 
netmask => 255.255.255.128 
ipaddress ethl => 192.168.1.8 
netmask ethl => 255.255.255.128 


ipaddress 变 量 中 存放 本 机 的 IP 地 址 ，netmask 变 量 中 存放 本 机 的 子 网 掩 码 变量 ，ipaddress_eth1 与 netmask_eth1 为 网 络 接 口 eth1 的 IP 与 子 网 掩 码 。 注 意 ，facter 只 显示 网 络 接口 有 IP 的 情况 。 


以 下 为 Facter 收 集 的 网 络 接口 的 网 卡 硬件 地 址 变量 。 


macaddress => 08:19:A4:27:6D:99 
macaddress eth0 => 08:19:A4:27:6D:99 
macaddress ethl => 08:19:A4:27:6D:1A 


网 卡 硬件 地 址 又 称 MAC 地 址 ， 它 长 48bit， 由 12 位 的 十 六 进 制 数字 组 成 ， 


中 0 到 23 位 是 厂商 向 IETF 等 机 构 申 请 的 表示 厂商 的 代码 。 MAC 地 址 也 是 网 卡 的 唯一 标识 变量 。 


facter 除 了 支持 收集 IPv4 版 本 地 址 外 ， 还 支持 收集 IPv6 的 变量 ， 默 认 会 将 IPv6 变 量 存 放 于 $ipaddress6 和 $ipaddress6_{NETWORK INTERFACT} 两 个 变量 中 。 


全 补充 。 当 处 于 一 个 复杂 的 网 络 环境 时 ， 如 主机 连接 路 由 器 ， 再 从 路 由 器 连接 服务 器 ， 这 时 主机 获取 到 的 并 非 服务 器 的 真实 MAC 地 址 ， 而 是 路 由 器 的 MAC 地 址 ， 而 通过 factet 就 可 以 抓 取 到 最 原始 的 MAC 
地 址 。 


9.2.4 系统 发 行 版 本 变量 与 kernel 版 本 相关 变量 


下 面 介绍 系统 的 发 行 版 本 相关 变量 与 kernel 版 本 相关 的 变量 。 


1. 系 统 的 发 行 版 本 相关 变量 
以 下 为 Facter 收 集 到 的 系统 发 行 版 本 和 版 本 号 等 变量 。 


operatingsystem => SLES 
operatingsystemrelease => 10.1 


通过 表 9-3 我 们 了 解 到 机 器 的 发 行 版 本 为 Suse， 版 本 号 为 10.1。 


变量 说 上 明 
Operatingsystem 操作 系统 发 行 版 本 
] 


时 作 系统 发 行 版 本 


我 们 再 来 看 operatingsystem 变 量 与 Puppet 结 合 的 案例 。 这 个 案例 实现 的 是 通过 判断 系统 的 发 行 版 本 来 安装 不 同 的 Apache 包 。 代 码 片段 如 下 : 


MM 
| 号 


Operatingsystemrelease 


$packages = $operatingsystem ? { 
/ (?i-mx:ubuntu|debian)/ => 'apache2', 
/(?i-mx:centos|fedora|redhat)/ => 'httpd'， 


default => 'httpd' 


} 
package { $packages: 
ensure => install, 


} 


如 以 上 代码 所 示 ， 根 据 operatingsystem 操 作 系 统 的 发 行 版 本 安装 不 同 的 软件 包 ， 如 果 是 Ubuntu 或 Debian 系 统 发 行 版 本 则 安装 apache2 软 件 包 ; 如 果 是 CentOS、Fedora 或 RedHat 系 统 发 行 版 本 则 安 
装 httpd 软 件 包 ; 如 果 都 不 匹配 则 安装 默认 的 httpd 软 件 包 。 


2.kernel 版 本 相关 的 变量 


kernel (中 文 译 为 “内 核 ”) 是 操作 系统 的 一 个 重要 组 成 部 分 ， 它 主要 与 硬件 打交道 。 这 里 Facter 可 以 收集 到 kernel 的 版 本 等 相关 信息 ， 并 根据 收集 到 的 kernel 版 本 信息 来 安装 配置 软件 ， 有 效 地 避免 
软件 安装 过 程 中 操作 系统 层面 容易 出 现 的 一 些 问题 ， 如 驱动 不 兼容 、 程 序 版 本 与 内 核 版 本 不 兼容 等 。 


以 下 为 Facter 收 集 的 kernel 内 核 版 本 等 相关 信息 。 


kernel => Linux 

kernelmajversion => 2.6 

kernelrelease => 2.6.32-279.e16.x86_64 
kernelversion => 2.6.32 


从 表 9-4 中 我 们 了 解 到 ， 机 器 是 Linux 操 作 系统 ， 其 使 用 kernel 的 2.6 版 本 。 


表 9-4 Kernel 变量 说 明 


变 量 作 用 说 明 
内 核 名 微软 系列 系统 返回 windows 
erne J 和 忆 安 


其 他 系统 返回 uname -s 


kernelmajversion 大 版 本 号 返回 操作 系统 版 本 号 


微软 系列 系统 返回 Win32_OperatingSystem 


kernelrelease 完成 版 本 号 AIX 系统 返回 oslevel -s 


/六 


其 他 系统 返回 uname -r 
Solaris 系统 返回 uname -V 


kernelversion Sunos 系统 返回 uname -V 


其 他 系统 返回 kernerlrelease 


9.2.5 ”SELinux 相 关 变 量 


SELinux 对 我 们 来 说 都 不 陌生 ， 它 是 安全 增强 式 的 Linux (SELinux 全 称 为 Security-Enhanced Linux) ， 是 MAC (Mandatory Access Control， 强 制 访问 控制 系统 ) 的 一 个 实现 。 目 的 在 于 明确 指出 某 
个 进程 可 以 访问 哪些 资源 ， 如 文件 、 网 络 端口 等 。 强 制 访问 控制 系统 的 用 途 在 于 增强 系统 抵御 0-Day 攻 击 (利用 尚未 公开 的 漏洞 实现 的 攻击 行为 ) 的 能 力 ， 是 一 种 强制 访问 控制 的 实现 ， 所 以 SELinux 足 够 安 
全 ， 安 全 到 让 我 们 对 操作 系统 的 正常 需求 变 得 更 加 的 复杂 甚至 出 现 莫名 其 妙 的 问题 ， 所 以 导致 我 们 经 常 尝试 关闭 它 。SELinux 主 要 由 美国 国家 安全 局 开发 ， 并 于 2000 年 12 月 22 日 发 布 给 开放 源 代码 的 开发 社 
区 。 以 下 为 facter 程 序 获取 Agent 的 SELinux 变 量 信息 ， 我 们 可 以 通过 收集 到 的 信息 并 根据 服务 器 的 重要 程度 来 确认 是 否 要 配置 开启 或 关闭 SELinux 功 能 。 


以 下 为 Facter 收 集 的 SELinux 变 量 。 


selinux => true 

selinux config mode => enforcing 
selinux config policy => targeted 
selinux current mode => enforcing 
selinux enforced => true 

selinux mode => targeted 

selinux policyversion => 24 


从 参数 ( 见 表 9-5) 返回 的 变量 可 以 了 解 到 ， 目 前 机 器 已 经 开启 了 SELinux 机 制 。 如 果 读 者 所 在 的 企业 网 足够 安全 ， 或 者 读者 足够 了 解 所 在 网 络 的 安全 程度 的 情况 下 ， 建 议 关 闭 SELinux 功 能 。 


表 9-5 SELinux 相 关 变 量 说 明 


变量 说 __ 明 
selinux Agent 是 否 启用 SELinux 
selinux_config mode SELinux 配置 模式 ， 包 含 enforcing、 permissive 和 disabled 
selinux_config policy SELinux 的 规则 配置 
selinux_policyversion SELinux 的 版 本 
selinux_enforced SELinux 开关 状态 


9.3 扩展 Facter 


本 节 介 绍 如 何 扩展 Facter 的 facts (其 实 facts 也 是 变量 ， 所 以 下 文 将 facts 统 称 为 变量 ) ， 由 于 篇 幅 所 限 ， 这 里 仅 对 扩展 Facter 进 行 简单 介绍 ， 关 于 其 本 身 扩展 模块 的 更 多 信息 可 以 参 


考 http://downloads.puppetlabs.com/facter/apidocs/。 


9.3.1 扩展 Facter 的 变量 


以 1.7 版 本 为 例 ，Facter 为 我 们 提供 了 94 个 变量 ， 当 这 些 变量 不 能 满足 我 们 的 需求 或 者 希望 通过 Facter 来 收集 一 些 定制 化 的 变量 时 ， 就 需要 去 扩 | 


的 扩展 方式 : 


“ 通过 Ruby 语 言 来 扩展 Facter 的 变量 ， 适 用 于 了 解 Ruby 语 言 的 用 户 人 群 


“ 通过 环境 变量 来 扩展 Factet 的 变量 ， 适 用 于 临时 的 简单 需求 用 户 人 群 。 


“ 通过 External Facts 方 式 扩展 Facter 的 变量 〈 此 功能 仅 限于 Facter 1.7 以 上 版 本 ) ， 适 用 于 利用 不 同 编程 语言 来 扩展 Facter 变 量 的 用 户 人 群 。 


1.Ruby 语 言 来 扩展 Facter 的 变量 


展 Facter。 扩 展 Facter 并 不 复杂 ， 它 包含 了 以 下 3 种 常见 


与 Puppet 一 样 ，Facter 也 是 由 Ruby 语 言 开发 的 ， 所 以 这 里 介绍 如 何 通过 Ruby 语 言 来 扩展 Facter 变 量 。 这 里 需要 读者 掌握 一 些 Ruby 语 言 的 基本 语法 ， 但 是 不 用 担心 ， 因 为 Ruby 语 言 并 不 难 学 。 下 面 介 


绍 如 何 通过 Ruby 语 言 来 扩展 Facter 的 变量 。 


先 介绍 扩展 变量 的 程序 目录 位 置 在 哪 ， 然 后 再 来 通过 两 个 小 的 案例 扩展 Facter 的 变量 。 


先 来 介绍 Facter 的 扩展 程序 目录 位 置 。 通 过 facter|grep rubysitedir 命 令 可 以 查 到 Ruby 的 存放 位 置 ，Facter 扩 展 程序 的 位 置 就 在 Ruby 的 目录 下 。 这 种 方法 也 适用 于 源码 编译 安装 与 yum 方 式 安装 。 两 种 


安装 方式 路 径 如 下 : 


rubysitedir => /usr/local/lib/ruby/site ruby/1.8 
rubysitedir => /usr/lib/ruby/site ruby/1.8 


# 源 编译 方式 Ruby 的 位 置 
#yum 安装 方式 Ruby 的 位 置 


以 源码 编译 Ruby 方 式 为 例 ， 扩 展 Facter 程 序 的 目录 位 置 就 在 /usr/local/lib/ruby/site_ruby/1.8/facter/ 目 录 中 。 进 入 此 目录 我 们 会 发 现 有 很 多 的 *.rb 文 件 ， 如 图 9-1 所 示 。 这 些 都 是 Facter 变 量 的 源 程序 
文件 ， 由 Ruby 语 言 编 写 。 如 果 读 者 对 Ruby 语 言 比较 熟悉 ， 这 里 的 源 程 序 也 可 以 作为 参考 ， 通 过 对 默认 变量 源码 的 分 析 与 学 习 ， 可 加 深 对 Facter 的 了 解 。 


= 
architecture.rbh 
audgeasversion.rh 
hlockdevices.rh 
Cfkey.rbh 
Custom,. rh 
domain.rh 


facterversion.rhbh 
filesystems.rh 


fadn.rb 
hardwareisa.rb 
hardwaremodel .rh 
hostname .rh 

IO .ID 

interfaces.rh 

人 
ipaddress.rb 
iphostnuwber.rbh 
kernelmajversion.rh 


ipaddres 


kernel.rb 
kernelrelease.rbh 
kernelversion.rh 
ldom. rh 
lshdistcodename .rh 
lshdistdescription.rhbh 
lshdistid.rh 
lshdistrelease.rb 
lshmajdistrelease.rh 
lshrelease.rh 


macaddress.rb 
macosx .rh 
manufacturer .rh 
memory.rbh 
netmask.rh 
network.rbh 
operating 七 EIrI 
operatingsvystem.r 
Operating 
oSsfamily.rh 


stemre 


图 9-1 


Factert 默 认 变量 源 程序 


这 里 来 介绍 两 个 扩展 Facter 的 案例 。 
案例 1 


通过 Ruby 语 言 来 扩展 一 个 Facter 的 变量 。 编 辑 /usr/local/lib/ruby/site_ruby/1.8/facter/custom.rb 文 件 ， 将 以 下 代码 追加 到 文件 中 。 


Facter.add (:custom) do 
setcode do 
"This is custom facter™ 
end 
end 


如 以 上 代码 所 示 ， 其 中 :custom 为 Facter 中 的 key，This is custom facter 为 Facter 程 序 的 values。 保 存 custom.rb 文 件 后 执行 facter， 以 下 为 输出 的 结果 : 


facter | grep custom 
custom => This is custom facter 


案例 2 
通过 Ruby 语 言 调用 系统 命令 ， 并 将 命令 值 作为 Facter 的 变量 (Ruby 语 言 区 分 大 小 写 ) 。 编 辑 /usr/local/lib/ruby/site_ruby/1.8/facter/loadavg.rb 文 件 ， 将 以 下 代码 追加 到 文件 中 。 


Facter.add(:loadavg) do 
setcode do 
Facter: :Util: :Resolution.exec('cat /sys/loadavg') 
end 
end 


如 以 上 代码 所 示 ， 其 中 loadavg 为 Facter 中 的 key，Facter::Util::Resolution.exec('cat/sys/loadavg'") 调 用 系统 命令 ， 并 将 系统 命令 的 返回 值 存 入 loadavg 值 中 ， 作 为 Ioadavg 变 量 的 值 。 


facter | grep loadavg 
loadavg => 0.03 0.07 0.08 1/184 20415 


Facter 扩 展 变量 的 程序 默认 放 在 /usr/lib/ruby/site_ruby/1.8/facter/ 目 录 下 。 还 可 以 通过 环境 变量 的 方式 来 增加 或 改变 扩展 变量 的 存放 目录 。 如 追加 /home/fact 目 录 为 扩展 变量 程序 目录 ,将 
loadavg.rb 程 序 移动 到 此 目录 下 ， 并 追加 此 目录 的 环境 变量 。 操 作 流 程 如 下 : 


# mkdir -P /home/fact 

# mv /usr/lib/ruby/site ruby/1.8/facter/loadavg.rb /hoem/fact/ 

$ export FACTERLIB="./hoem/fact" # 导入 扩展 变量 目录 到 Facter 环 境 变量 中 
facter | grep loadavg 

loadavg => 0.03 0.07 0.08 1/184 20415 


2. 通 过 环境 变量 来 扩展 Facter 的 变量 


K 量 ， 


如 果 没 有 学 过 编程 语言 或 者 觉得 学 习 Ruby 语 言 比较 痛苦 ， 还 可 以 通过 加 载 Facter 的 环境 变量 的 方式 来 扩展 变量 。 导 入 格式 如 下 : 


export Facter_" 变 量 名 "= "变量 值 " 


以 下 为 通过 环境 变量 方式 扩展 Facter 的 变量 的 案例 ， 将 系统 负载 信息 通过 环境 变量 的 方式 导入 Facter。 


export FACTER loadavg=`cat /sys/loadavg”# 将 cat 命 令 输出 的 结果 通过 环境 变量 方式 导入 Facter 
#facter | grep loadavg # 再 次 执行 facter 会 帮 到 通过 环境 变量 方式 导入 的 宗 统 负载 人 
loadavg => 0.03 0.07 8. 08 1/184 20415 


9.3.2 External Facts 外 部 扩展 变量 


External Facts (扩展 变量 ， 下 称 扩展 变量 ) ， 为 Facter 1.7.* 新 增加 的 功能 。 它 提供 了 一 个 途径 让 我 们 可 以 将 文件 或 者 脚本 编程 语言 按照 Facter 的 指定 格式 导入 Facter 中 作为 变量 使 用 。 在 使 用 扩展 变 
量 前 ， 首 先 介绍 存 放 这 些 文件 和 脚本 编程 语言 在 系统 的 位 置 ， 如 表 9-6 所 示 。 在 不 同 的 操作 系统 发 行 版 本 中 扩展 变量 的 目录 是 不 一 样 的 。 


表 9-6 ”扩展 变量 默认 目录 


操作 系统 发 行 版 本 说 明 

/etc/facter/facts.d/ # 开源 社区 版 本 标准 目录 
/etc/puppetlabs/facter/facts.d/ # 开 源 社 区 版 本 标准 目录 
C:\Documents and Settings\All Users\Application Data\ 


UNINX/Linux/MAC 


Windows 2003 i 
PuppetLabs\facter\facts.d\ 


1 全 


微软 其 他 的 操作 系统 ( Windows Vista 、Windows 


等 C:\ProgramData\PuppetLabs\facter\facts.d\ 
7\ 8\ 2008\2012 等 ) 


当 我 们 将 文件 或 脚本 编程 语言 放 入 扩展 变量 的 默认 目录 后 ，Facter 本 身 会 自动 解析 默认 目录 内 的 文件 或 者 脚本 编程 语言 的 输出 值 ， 并 将 它们 导入 Facter 变 量 中 来 使 用 。 


注意 扩展 变量 目前 只 支持 Facter 1.7 以 上 的 版 本 ， 在 使 用 前 请 通过 facter-v 确 认 自己 的 版 本 。 


除了 通过 默认 目录 来 扩展 Facter 变 量 外 ， 还 可 以 通过 Facter 的 external-dir 参 数 指定 目录 方式 来 导入 变量 。 通 过 external-dir 导 入 方式 如 下 : 


facter --external-dir=/home/facts/ | grep key 
keyl => Valuel 
key2 => value2 
key3 => value3 
key4 => Value4 
key5 => Value5 


可 以 看 到 Facter 程 序 输出 中 多 了 很 多 自 定义 的 变量 值 ， 这 些 变量 均 通 过 /home/facts/ 目 录 中 的 文件 或 者 脚本 输出 得 到 。 这 里 可 以 使 用 的 文件 或 者 脚本 包括 文本 文件 、 结 构 化 文件 、 批 处 理 脚本 、Python 
脚本 和 PHP 脚 本 等 。Facter 的 扩展 变量 支持 以 下 的 导入 格式 : 


keyl=valuel 
key2=value2 
key3=value3 


通过 其 他 编程 语言 或 者 结构 化 文件 导入 扩展 变量 都 需要 遵循 Facter 的 扩展 变量 的 格式 。 下 面 笔 者 通过 Python 脚 本 、PHP 脚 本 、 微 软 的 bat 程 序 和 结构 化 文件 (包含 json 和 yaml) 方式 来 实现 导入 Facter 
的 扩展 变量 


1.Python 脚 本 的 扩展 变量 


可 以 通过 Python 脚 本 来 导入 扩展 变量 。 以 UNIX/Linux/MAC 为 例 ， 在 Facter 的 扩展 变量 默认 (/etc/facter/facts.d/) 目录 中 编辑 my _fact_script.py 脚 本 。 代 码 片段 如 下 : 


#!/usr/bin/env python 

data = {"keyl" : "valuel", "key2" : "value2" } 

for k in data: 
print "%s=%s" $$ (k,data[k]) 


编写 后 不 要 忘记 为 my_fact_script.py 文 件 设置 权限 ， 如 下 : 


chmod +x /etc/facter/facts.d/my fact script.py 


通过 Python 测 试 程序 的 最 终 输 出 格式 如 下 : 


# python my_fact script.py 
keyl=valuel 
key2=value2 
key3=value3 


这 时 我 们 可 以 执行 Facter 程 序 ， 确 认 Python 脚 本 导入 的 变量 是 否 已 经 成 功 导入 。 


2.PHP 脚 本 的 扩展 变量 


可 以 通过 PHP 脚 本 导入 扩展 变量 。 还 是 以 UNIX/Linux/MAC 为 例 ， 在 Facter 的 扩展 变量 默认 (/etc/facter/facts.d/) 目录 中 编辑 my_fact_script.php 文 件 。 代 码 片段 如 下 : 


#!/usr/bin/php 
<?2php 
S$arr=array ( : 定 定义 php 的 Serr 数组 并 追加 内 容 
mkevln 


"key3"=>"value3", 
"key4"=>"value4", 


"key5"=>"value5", 


foreach ($arr as $k=>$v){ 


$output=sprintf ("%: 
echo $output."\n"; 


} 
?> 


环 便利 $arr 数 组 生成 Facter 所 需要 的 格式 


执行 my_fact_script.php 文 件 输出 结果 如 下 : 


#./my_fact script.php 


keyl=valuel 
key2=value2 
key3=value3 


这 时 可 以 执行 Facter 程 序 ， 确 认 PHP 脚 本 导入 的 变量 已 经 成 功 导 入 。 值 得 注意 的 是 可 以 将 Facter 的 扩展 变量 存放 到 数据 中 ， 并 与 脚本 编程 语言 结合 将 数据 库 中 的 内 容 作 为 Facter 的 变量 ， 这 样 使 得 扩展 


Facter 的 变量 变 得 更 加 灵活 方便 。 


3.Windows 系 统 导 入 扩 | 


展 变量 


微软 系列 的 操作 系统 支持 导入 扩展 变量 包含 exe 和 com 两 种 可 执行 文件 的 方式 ， 还 包含 .bat 和 .cmd 两 种 脚本 文件 方式 。 以 Windows 7 系统 为 例 ， 在 C\ProgramDataxPuppetLabs\facterfacts.dN 目 录 


下 ,编辑 my_fact_script.bak 文 件 ， 内 容 如 下 : 

Qecho off 

echo keyl=vall 

echo key2=val2 

echo key3=val3 

REM Invalid - echo 'key4=val4' 

REM Invalid -~ echo "key5=val5" 

此 方式 仅 限 于 在 微软 Windows 系 列 操作 系统 中 使 
4: 文 件 与 结构 化 文件 导入 扩展 变量 


扩展 变量 还 支持 文件 与 结构 化 文件 的 导入 。 


文本 文件 格式 导入 如 下 : 


keyl=valuel 
key2=value2 
key3=value3 


yaml 格 式 导入 如 下 : 


keyl: vall 
key2: val2 
key3: val3 


json 格 式 导 入 如 下 : 


以 上 为 文本 文件 、yaml 格 式 和 json 格 式 导 入 Facter 扩 展 变量 的 方法 。 通 过 以 下 测试 数据 来 看 ， 以 文本 文件 扩展 Facter 变 量 方式 解析 速度 最 快 ， 但 扩展 性 没有 脚本 编程 语言 方便 。 


# facter --timing 
kernel: 14.8lms 


/usr/lib/facter/ext/abc.sh: 48.72ms 
/usr/1lib/facter/ext/foo.sh: 32.69ms 
/usr/lib/facter/ext/full.json: 104.71ms 
/usr/lib/facter/ext/sample.txt: 0.65ms 


# 文本 文件 扩展 Facter 变 量 方式 (单位 为 毫秒 ) 


9.4 ”编号 与 分 发 Facter 的 扩展 


“ 结尾 可 以 使 用 LF 或 CRLF 换 行 符 。 


.本 件 编码 必须 使 用 ANSI 或 UTF8 编 码 。 


前 面 我 们 介绍 了 如 何在 Master 上 扩展 Facter 的 变量 。 


Agent 共 分 4 步 : 


展 变量 由 Master 同 步 到 Agent 上 。 以 分 发 “收集 Agent 的 负载 信息 ”程序 为 例 来 介绍 。 从 Master 分 发 Facter 扩 展 到 


本 节 来 介绍 一 下 如 何 将 这 些 扩 


步骤 1 追加 以 下 配置 到 Master/Agent 的 puppet.conf 文 件 中 ， 其 含义 是 打开 Puppet 的 插件 同步 开关 。 


[main] 
pluginsync = true 


步骤 2 将 以 下 代码 片段 追加 到 /etc/puppet/modules/facter/lib/facter loadavg.rb 文 件 中 。 


Facter.add ("loadavg") do 


setcode do 


# 需要 对 "' "进行 转 义 
Facter: :Util::Resolution.exec('uptime | awk \'{print $(NF-2)}\' | sed \'s/,//g\'') 


end 
end 


需要 注意 ，Ruby 语 言 是 区 分 大 小 写 的 ， 它 在 调用 系统 命令 时 需要 对 特殊 符号 进行 转 义 。loadavg.rb 文 件 的 作用 是 通过 机 器 的 uptime 命 令 来 收集 当前 机 器 的 负载 状况 ， 并 将 负载 状况 赋值 给 loadavg 作 为 
Facter 的 输出 。 追 加 后 测试 结果 如 下 : 


# facter | grep loadavg 
loadavg => 0.11 


步骤 3 ”步骤 1 和 步骤 2 完成 后 ， 已 经 成 功 地 在 Master 服 务 器 上 通过 loadavg.rb 扩 展 了 Facter 的 loadavg 变 量 ， 并 且 打 开 了 同步 的 配置 选项 。 下 面 再 来 看 如 何 将 loadavg.rb 同 步 到 Agent 上 。 在 介绍 同步 
法 前 ， 先 介绍 一 下 Master 的 相关 扩展 目录 结构 与 含义 。 


lodulepathy 
{module} 
lib 
facter 
Puppet 
| 一 parser 
[一 functions 
| 一 Provider 
— type 
上 边 目录 结构 的 含义 如 下 。 


“ modulepath: 定义 在 puppet.conf 文 件 中 ， 表 示 modules 发 布 目 录 的 位 置 。 
“ module: 模块 的 名 字 。 

“ lib: 库 文件 存放 目录 。 

“ facter: Facter 的 扩展 源 程序 存放 目录 。 

-functions: Puppet 自 带 函 数 扩展 源 程序 存放 目录 。 

“ provider: Puppet 的 提供 者 扩展 源 程序 存放 目录 。 

“ type: Puppet 的 扩展 源 程序 存放 目录 。 


以 facter 模 块 为 例 ， 以 下 为 Master 扩 展 目录 的 路 径 。 将 loadavg.rb 文 件 复制 到 /etc/puppet/modules/facter/lib/facter/ 目 录 下 。 注 意 插件 同步 发 生 在 Puppet 运 行 的 阶段 ， 即 添加 插件 后 当 Agent 首 次 
访问 Master 时 ， 这 时 的 loadavg.rb 插 件 是 不 能 使 用 的 ， 首 次 只 会 将 loadavg.rb 插 件 文件 同步 到 Agent 的 目录 上 。 当 下 次 Agent 再 次 访问 Master 时 ，loadavg.rb 扩 展 的 变量 才 可 以 使 用 。 


步骤 4 在 Agent 确 认 puppet.conf 文 件 已 经 开启 了 pluginsync=true 配 置 后 ， 再 执行 以 下 命令 : 


# puppet agent --server puppet.example.com --test 


以 下 为 输出 结果 : 


info: Retrieving plugin 

notice: /File[/usr/local/puppet/lib/ruby/site ruby/1.8/facter/loadavg.rb]/ensure: defined content as '{md5}9213ddc3bc2a7c9778ea552feecda140' 
# 成 功 的 加 载 1oadavg .rb 文件 

info: Loading downloaded plugin /etc/puppet/modules/facter/lib/facter loadavg.rb 

info: Loading facts in /usr/local/puppet/1lib/ruby/site ruby/1.8/facter/loadavg.rb 


从 输出 结果 中 可 以 看 到 ，loadavg.rb 文 件 已 经 成 功 地 由 Master 同 步 到 Agent 的 /usVlocaVpuppet/lib/ruby/site_ruby/1.8/facter/ 的 目录 中 ， 在 Agent 执 行 以 下 命令 ， 可 以 看 到 Agent 的 相关 负载 状况 。 


# facter | grep loadavg 
loadavg => 0.11 


当 Agent 再 次 访问 Master 时 也 会 将 Agent 的 负载 信息 传 入 Master 中 。 


三 部 分 高 级 篇 
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第 15 章 ”Marionette Collective 框 架 应 用 


第 10 章 ”Puppet 高 级 功能 


本 章 主要 介绍 Puppet 的 一 些 高 级 功能 ， 通 过 对 本 章 的 学 习 有 助 于 我 们 更 深入 地 了 解 Puppet。 本 章 首先 介绍 ENC 的 功能 ,之 前 知识 体系 中 所 掌握 的 通过 清单 来 管理 配置 服务 器 ， 而 ENC 则 是 清单 配置 管 
理 的 一 个 替代 工具 ， 它 的 优势 是 通过 不 同 的 语言 转 为 YAML 格 式 来 管理 配置 服务 器 ， 弥 补 了 Puppet 清 单 管理 配置 服务 器 的 一 些 不 足 ， 从 而 更 适用 于 管理 海量 服务 器 场景 。 接 着 介绍 Puppet DSL，Puppet 通 
过 DSL 继 承 了 Ruby 语 言 的 全 部 功能 ， 并 可 以 通过 Ruby 语 言 与 Puppet 结 合 管理 服务 器 。 然 后 介绍 Puppet 的 关系 图 ，Puppet 本 身 可 以 生成 DOT 语 言 ， 可 以 通过 DOT 语 言 与 工具 的 结合 描绘 出 Puppet 代 码 之 间 


的 逻辑 关系 ， 从 而 避免 了 逻辑 复杂 导致 的 配置 错误 。 接 着 介绍 Puppetlabs-stdlib， 它 是 Puppet 官 方 网 站 提供 的 集成 工具 包 ， 包 含 了 自 定义 函数 、 资 源 与 提供 者 的 源码 与 使 用 案例 ， 主 要 介绍 它 丰 富 的 函数 
功能 。 并 为 后 一 节 开 发 Puppet 的 扩展 作 铺 垫 ， 了 解 Puppetlabs-stdlib 使 用 与 代码 逻辑 可 为 后 续 独立 开发 扩展 打下 良好 基础 。 最 后 将 介绍 Puppet 的 扩展 开发 ， 从 代码 结构 中 了 解 Puppet 是 如 何 工作 的 ， 以 及 
为 什么 通过 资源 可 以 在 不 同 的 发 行 版 本 机 器 上 安装 配置 软件 。 


10.1 ”ENC 介绍 


在 前 面 章节 介绍 的 知识 体系 中 ， 管 理 配置 服务 器 通常 使 用 manifests 中 的 清单 来 完成 ， 这 里 我 们 再 来 了 解 另 一 种 配置 管理 服务 器 的 方式 一 一 ENC (External Node Classifiers， 外 部 节点 分 类 器 ) 。ENC 
是 Puppet 中 的 脚本 抽象 层 ， 它 可 以 通过 Ruby、shell、PHP、Perl 和 Python 等 脚本 语言 来 蔡 代 manifests 中 的 清单 功能 ， 但 要 求 这 些 编程 语言 能 够 正确 地 输出 YAML 标 记 语 言 格式 。 也 正 是 因为 与 编程 语言 的 
结合 ， 使 得 ENC 通 过 Puppet 管 理 配置 服务 器 变 得 更 加 灵活 ， 并 适用 于 海量 服务 器 配置 管理 的 场景 。 目 前 Google 与 Zynga 等 公司 部 分 服务 均 利用 Puppet 的 ENC 功 能 协助 管理 海量 的 节点 。 另 外 Puppet 还 可 
以 通过 LDAP 服 务 作为 节点 分 类 器 ， 不 过 由 于 笔者 工作 中 并 未 涉及 LDAP， 所 以 这 里 不 会 介绍 。 关 于 LDAP 配 置 的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/guides/ldap_nodes.html。 


10.1.1 ”ENC 的 配置 


因为 ENC 功 能 是 通过 编程 语言 来 生成 YAML 格 式 完成 整个 配置 环节 的 ， 所 以 在 正式 介绍 如 何 配置 ENC 前 ， 首 先 来 了 解 一 下 什么 是 YAML 格 式 ，YAML 格 式 与 常用 的 XML 格式 有 什么 区 别 。 


1.YAML 格 式 介绍 
YAML (Yet Another Markup Language) 是 一 种 标记 语言 。YAML 设 计 的 初 囊 如 下 : 
“ 方便 人 们 阅读 。 
“ 适合 描述 程序 语言 的 数据 结构 。 
“ 用 于 不 同 程序 间 的 数据 交换 。 
“ 支持 泛 型 工具 。 
“ 支持 串 行 处 理 。 
“ 丰富 的 表达 能 力 和 可 扩展 性 。 


易于 使 用 。 


YAML 以 哈 希 表 的 方式 来 表达 自己 。 笔 者 以 本 书 为 题 介绍 一 个 简单 的 例子 ， 帮 助 读者 了 解 YAML 是 如 何 工作 的 。 


# 开始 

书 名 ”: 'Puppet 权 威 指南 ' 

出 版 社 : ee 
! 远 航 ' 


- 第 1 节 : 优秀 运 维 工程 师 vs 普通 运 维 工程 师 
-第 2 节 : 自动 化 运 维 工具 箱 


0 - 第 1 节 : Devops 介 绍 
结束 


Foo amewmh 


以 上 YAML 的 例子 中 ， 相 关 符号 含义 如 下 : 

“# ”表示 注释 。 

“---” 表 示 YAML 的 开始 。 紧 接着 “ 书 名 ”作为 键 ， 通 过 “:” 进 行 分 割 ，“Puppet 权 威 指南 ”为 值 ， 其 余 以 此 类 推 。 

“ 第 7 行 中 的 符号 “-” 表 示 第 1 节 为 第 1 章 的 列表 成 员 ，“ 优 秀 运 维 工程 师 vs 普 通 运 维 工 程 师 ” 为 第 1 节 的 值 ， 并 以 此 类 推 。 


这 些 符号 最 终 组 成 了 YAML 的 语法 格式 。 需 要 强调 的 是 : YAML 语 法 规范 很 重要 ， 如 果 编 写 后 的 YAML 不 能 肯定 语法 是 否 正 确 ， 可 以 通过 http://YAML-online-parser.appspot.com/ 在 线 编辑 器 来 确 
认 ， 以 降低 程序 读 取 配置 出 错 的 概率 。 


2.YAML 格 式 与 XML 格式 的 比较 


YAML 与 XML 是 两 个 常见 的 使 用 格式 ， 两 者 相 比 有 什么 差别 呢 ? 与 YAML 相 比 ，XML 关 注 面 比 较 多 ， 可 以 说 是 面面俱到 。XML 是 一 个 典型 的 由 委员 会 驱动 的 “庞然大物 ”， 它 试图 成 为 一 种 文档 格式 、 
数据 格式 、 消 息 包 格 式 、 安 全 的 RPC 通 道 (SOAP) ， 以 及 一 种 对 象 数据 库 。 而 且 ，XML 为 每 一 类 型 的 访问 和 操作 都 提供 了 大 量 的 AP1， 包 括 DOM、SAX、XSLT、XPATH、JDOM ， 以 及 许多 不 太 常见 的 接 
口 层 。 XML 完成 了 所 有 的 这 些 工作 ， 这 非常 了 不 起 ; 但 令 人 失望 的 是 没有 一 项 工作 是 完美 无 缺 的 。 


与 XML 相 比 YAML 关 注 面 比较 窒 ， 它 只 是 清晰 地 表示 在 动态 编程 语言 (如 Perl|、Python、Ruby 和 Java 语 言 等 ) 中 所 遇 到 的 数据 结构 以 及 数据 类 型 。 目 前 ， 对 于 这 些 语言 ， 已 经 有 了 一 些 绑 定 类 库 。 另 外 
许多 其 他 的 编程 语言 中 已 存在 可 以 很 好 地 使 用 YAML 的 数据 模型 ,但 目前 还 没有 人 编写 相关 的 类 库 ， 这 些 语言 包括 Lisp/Scheme、Rebol、Smalltalk、xBase 和 AWK 等 。 


3.ENC 配 置 


Puppet 如 何 开启 ENC 功 能 呢 ? 在 Master 上 编辑 /etc/puppet/puppet.conf 配 置 文件 ， 将 以 下 内 容 追 加 到 配置 文件 的 master 段 中 。 


[master] 
node terminus = exec 
external nodes = /etc/puppet/enc/ruby enc.rb 


代码 中 参数 作用 如 下 。 


“ master 参 数 : 在 第 4 章 中 介绍 过 ，puppet.conf 主 要 分 为 3 个 段 ， 其 中 [mastet] 段 用 于 Master 部 分 的 配置 。[masted] 段 的 参数 主要 应 用 于 守护 进程 的 配置 。 


“ node_terminus 参 数 : 选择 catalog 的 编译 方式 。 目 前 Puppet 提 供 了 3 种 catalog 的 编译 方式 ， 它 们 分 别 为 默认 的 plain 方 式 和 可 选 的 puppet apply 方 式 与 exec 执 行 ENC 脚 本 方式 。plain 方 式 主要 用 于 Puppet 的 C/S 架 
构 场 景 ， 即 Agent 与 Master 不 在 同一 台 服 务 器 ，Agent 通 过 网 络 连 接 Master 并 获取 catalog; puppet apply 方 式 适用 于 单机 执行 Puppet 代 码 ， 但 需要 注意 ，puppet apply 方 式 不 支持 Puppet 代 码 中 节点 的 继承 关系 (笔者 


通常 使 用 此 方式 测试 资源 的 最 终 执 行 结果 ) ; 最 后 是 exec 即 ENC 脚 本 方式 ， 它 通过 不 同 的 语言 生成 统一 的 YAML 格式， 并 根据 YAML 格式 通过 Puppet 编 译 成 catalog。 在 此 设置 为 exec 方 式 ， 通 过 它 开启 ENC 的 配 
置 开 关 。 


“ external_nodes 参 数 : 用 于 设置 ENC 脚 本 的 路 径 与 脚本 名 。 如 果 /etc/puppetVenc 路 径 不 存在 ， 则 需要 手工 创建 它 。ruby_enc. 中 为 ENC 的 脚本 ， 这 里 可 以 使 用 Shell、PHP、Ruby、Perl 和 Python 等 常见 的 编 
程 语 言 来 编写 。 


加 注意 配置 puppet.conf 文 件 变 更 后 ， 需 要 重启 Master 的 守护 进程 ，ENC 功 能 才 会 生效 。 


开启 ENC 功 能 后 ，manifests 目 录 中 的 清单 功能 使 用 级 别 将 会 降低 ，Agent 访 问 Master 时 会 优先 匹配 ENC 功 能 。 如 果 希 望 既 使 用 manifests 目 录 中 的 清单 功能 ， 又 使 用 ENC 的 功能 ， 则 ENC 需 要 返回 的 是 
空 的 YAML，Agent 会 自动 匹配 manifests 目 录 中 的 清单 功能 。 另 外 在 使 用 ENC 功 能 时 还 需要 注意 manifests 与 ENC 功 能 的 区 别 。 


在 manifests 管 理 方式 中 ， 支 持 的 Agent 的 Hostname 方 式 包括 apgentl.example.com、agentl.example (简写 ) 和 agentl (简写 ) ， 但 是 在 ENC 中 不 支持 这 样 的 简写 Hostname 方 式 ， 需 要 写 域名 的 全 称 ， 即 
人 PP Pp. gr 


agent1.example.como 


“ 在 manifests 管 理 方式 中 ，Agent 会 依次 匹配 site.pp 文 件 中 的 node， 如 果 没 有 匹配 到 node， 则 最 终 会 落 到 node default 节 点 上 。 但 是 在 ENC 节 点 配置 中 没有 上 默认 节点 的 管理 方式 。 


10.1.2 ENC 案例 


本 小 节 将 以 Ruby 语 言 为 例 来 介绍 ENC 的 使 用 案例 。 之 所 以 选择 Ruby 语 言 ， 是 因为 YAML 与 Ruby 联 系 非常 紧密 ， 在 很 多 Ruby 项 目 中 都 使 用 了 YAML 格 式 来 保存 配置 文件 。 毫 不 夸张 地 说 ,，YAML 是 Ruby 
中 “流动 的 血液 ”。 


在 确认 打开 ENC 功 能 后 ， 应 首先 判断 puppet.conf 配 置 文件 中 的 ENC 功 能 是 否 打开 ， 并 且 external_nodes 参 数 指定 的 脚本 返回 正确 的 YAML 格 式 ， 如 果 返 回 的 是 正确 的 YAML 格 式 ， 则 加 载 ENC 的 配 
置 ; 如 果 puppet.conf 文 件 中 ENC 功 能 并 没有 打开 或 者 它 返 回 的 是 空 的 YAML 格 式 ， 则 加 载 manifests 清 单 目录 中 的 site.pp 文 件 ， 如 图 10-1 所 示 。 


图 10-1 ENC 流 程 图 


确认 Master 的 puppet.conf 配 置 文件 中 开启 了 ENC 配 置 后 ， 追 加 以 下 内 容 到 /etc/puppet/enc/ruby_enc.rb 脚 本 文件 中 。 


#!/usr/local/bin/ruby 
# encoding: UTF-8 
# filename:puppet enc.rb 
# time:2014.01.01 
# 参数 入 口 
node = ARGV[0] 
# 通过 正则 匹配 输入 的 node 节 点 是 否 合 法 ,目前 只 支持 web.example.com | cache.example.com | db.example.com 节 点 
unless node =~ /^ (weblcacheldb)\. (\S+\.\S+)$/ 
print "Please input web.example.com | cache.example.com | db.example.com\n" 
exit 0 
end 
# 加 载 YAML 的 库 
require 'yaml' 
# 加 载 节点 
hostname = $1 
# 生成 Puppet 的 清单 列表 
default = {'classes' => []} 
base = { 'enviroment' => 'production', 
"Parameters' => { 
'puppetserver' => !'Puppet.example.com'! 


’ 
"classes' =>[ 'base'], 

} 

case hostname 


when /^web?\w+$/ # 匹配 web .example.com 节 点 ,并 加 载 base 与 nginx 类 
web = { "classes' => 'nginx'} 
base['classes'] << web['classes'] 
puts YAML.dump (base) 
when /^cache?\w+$/ # 匹配 web.example.com 节 点 ,并 加 载 apache、memcache 类 
cache = {'classes' =>'memcache'} 
base['classes'] << cache['classes'] 
cache = {'classes' =>'apache'} 
base['classes'] << cache['classes'] 
puts YAML.dump (base) 
when /^db?\w+$/ # 匹配 db.example.com 节 点 ,并 加 载 mysql 类 
db= {'classes' =>'mysql'} 
base['classes'] << db['classes'] 
puts YAML.dump (base) 
end 
exit 0 


通过 Ruby 来 测试 一 下 以 上 代码 的 输出 。 以 Agent 的 Hostname 为 web.example.com 为 例 ， 查 看 Hostname 访 问 Master 的 YAML 格 式 输出 ， 看 ENC 是 如 何 加 载 配 置 的 。 具 体 如 下 : 


# 以 下 为 ENC 根 据 Hostname 为 web .example.com 返 回 的 YAMI 格 式 配置 
# ruby /etc/puppet/enc/ruby_enc.rb web.example.com 
enviroment: production 

parameters: 

puppetserver: puppet .example.com 

classes: 


如 果 我 们 将 以 上 的 ENC 功 能 输出 内 容 转 换 为 manifests 中 的 清单 代码 ， 它 与 以 下 清单 中 的 代码 功能 一 致 。 


node web.example.com { 
$puppetserver = puppet .example.com 
include base 
include nginx 


整个 Agent 访 问 Master 的 工作 流程 为 : 当 Agent 的 Hostname 为 web.example.com 访 问 Master 时 ，Master 会 将 Agent 的 Hostname ( 即 web.example.com) 作为 ENC 的 ruby_enc.rb 脚 本 输入 。 


ruby_enc.rb 脚 本 执行 过 程 中 ， 首 先 会 检查 Agent 的 Hostname (web.example.com) 是 否 符合 规范 〈 目 前 此 脚本 只 接受 Hostname 为 web.example.com、cache.example.com 和 db.example.com 的 域名 
访问 ) ， 当 检查 通过 后 ， 接 着 来 自 Hostname (web.example.com) 的 Agent 会 加 载 $gpuppetserver 变 量 以 及 base 和 nginx 模 块 ， 这 些 模块 与 nanifests 的 清单 功能 一 样 ， 都 存放 在 modules 目 录 中 。 最 后 根 
据 模块 中 的 配置 信息 在 Agent 上 应 用 它们 ， 这 就 是 ENC 的 整个 工作 流程 。 从 以 上 的 案例 中 可 以 看 到 ，ENC 主 要 承接 了 manifests 中 的 逻辑 等 功能 ，manifests 的 缺点 是 逻辑 与 数据 结合 不 够 灵活 ， 而 ENC 恰 好 


相 


， 它 使 用 了 编程 语言 ， 以 Ruby 语 言 为 例 ， 通 过 Ruby 语 言 弥补 了 Puppet 的 一 些 不 足 ， 如 循环 的 缺失 、 连 接 数据 库 的 限制 等 ， 而 这 一 切 都 可 以 通过 ENC 很 好 地 解决 。 


10.2 ”Ruby DSL 介 绍 


Ruby DSL (Ruby Domain Specific Language) 是 一 个 面向 语言 的 工具 ， 用 于 解决 某 个 特定 领域 的 编程 任务 ，Puppet 通 过 Ruby DSL 功 能 继承 了 全 部 的 Ruby 语 言 能 力 。Puppet 2.6 版 本 到 2.7 支 持 


Ruby DSL 功 能 ， 可 惜 的 是 Puppet 3 中 已 经 取消 了 对 Ruby DSL 的 支持 ， 不 过 对 于 使 用 2.7 的 用 户 来 说 还 是 可 以 了 解 一 下 Ruby DSL 这 一 工具 的 。 


组 ， 


应 该 在 什么 时 候 使 用 Ruby DSL 呢 ?如 通过 Puppet ENC 的 APl 来 访问 一 个 动态 数据 集合 时 ，Ruby DSL 功 能 可 以 完美 地 解决 数据 资源 声明 的 问题 。 另 外 Ruby 中 使 用 了 each 方 法 来 遍历 哈 希 表 和 数 
each 方 法 提供 了 声明 多 资源 的 简便 方式 ， 而 这 一 工作 我 们 想 通 过 Puppet 语 言 来 解决 是 很 困难 的 。 在 manifests 和 modules 中 既 可 以 使 用 Puppet 语 言 也 可 以 使 用 Ruby DSL。 它 们 之 间 的 区 分 可 以 通过 扩 


展 名 来 识别 ，Ruby DSL 以 .rb 结尾 作为 扩展 名 ，Puppet 语 言 以 .pp 结尾 作为 扩展 名 。 使 用 Ruby DSL 还 有 以 下 3 个 优势 : 


“ Ruby DSL 可 以 让 开发 人 员 直 接生 成 Puppet 的 资源 。 
“ Ruby DSL 可 以 克服 Puppet 的 限制 。 


: Ruby DSL 可 以 借助 Ruby 强 大 的 单元 测试 框架 。 


不 过 需要 注意 的 是 Ruby DSL 在 Puppet 中 还 是 Puppet DSL 的 一 个 子 集 ， 因 此 在 使 用 Ruby DSL 时 还 会 有 一 些 限制 ， 如 在 使 用 Ruby 声 明 类 时 ， 不 支持 Puppet 2.6 中 运行 阶段 的 stages 特 性 。 


10.2.1 如 何 使 用 Ruby DSL 


如 何 通 过 Puppet 使 用 Ruby DSL 功 能 呢 ? 看 下 面 这 个 例子 。 首 先 编辑 /etc/puppet/dsVyfile.rb 文 件 ， 将 以 下 代码 片段 追加 到 文件 中 。 


# 创建 默认 的 节点 
node 'default' do 
# 调用 file 资 源 创建 test 文 件 
file('test', # 设置 资源 标题 


:ensure => 'file', # 设置 创建 文件 类 型 
:path => '/tmp/test', # 设置 创建 文件 路 径 
:mode => '0640') # 设置 文件 的 权限 


end # 结束 符 


执行 (puppet apply/etc/puppet/dsl/file.rb) 以 上 的 file.rb 代 码 片段 ， 结 果 如 下 : 


notice: /Stage [main]//Noqde [default]/VFile[/tmp/test]/ensure: defined content as '{md5}37b51d194a7513e45b56£6524f2d51f£2" 
notice: Finished catalog run in 0.04 seconds 


从 Ruby DSL 的 输出 结果 中 可 以 看 到 ，Ruby DSL 在 /tmp/test 下 创建 好 了 文本 文件 ， 并 将 test 追 加 到 文件 中 。Ruby DSL 不 但 可 以 使 用 Puppet 资 源 ， 还 继承 了 Puppet 的 很 多 功能 。 继 续 看 两 个 Ruby DSL 


的 案例 。 


10.2.2 Ruby DSL 案 例 


案例 1 通过 Ruby DSL 批 量 创建 系统 账户 


首先 配置 一 下 Ruby DSL 的 环境 。 编 辑 Master 的 puppet.conf 文 件 ， 将 manifest=/etc/puppet/manifests/site.pp 改 为 manifest=/etc/puppet/manifests/site.rb， 修 改 后 重新 启动 Master 守 护 进程 ， 


这 时 Agent 访 问 Master 会 将 装载 site.pp 文 件 改 为 装载 site.rb 文 件 。 


以 下 为 Ruby DSL 目 录 结 构 ， 我 们 对 比 一 下 与 传统 目录 是 否 有 区 别 (限于 篇 幅 ， 笔 者 手动 删 去 了 大 部 分 不 相关 的 文件 与 目录 ) 。 


manifests 
[一 site.rb  # 站 点 导航 
modules 
base 
| | 一 manifests 

[一 init.rb # 引导 文件 
[一 package.rb # : 包 安 
[一 create user.rb # 批 Ey 文件 


从 目录 结构 可 以 看 出 ， 它 与 传统 的 Puppet 管 理 配 置 服务 器 方式 并 没有 太 大 的 区 别 ， 唯 一 的 区 别 是 文件 扩展 名 由 .pp 替换 成 了 .rb。 下 面 来 看 一 下 目录 结构 中 各 个 文件 。 


1) site.rb 文 件 。 以 下 为 Ruby DSL 编 写 的 site.rb 代 码 文件 : 


node /web.example.com/ do 
include base 
end # node 结 束 符 


以 上 代码 文件 含义 : 匹配 web.example.com 站 点 并 加 载 base 库 文件 。 


2) init.rb 文 件 。 以 下 为 Ruby DSL 编 写 的 init.rb 代 码 文件 : 


import create user.rb 
import package.rb 


以 上 代码 文件 含义 : 加 载 create_user.rb 文 件 与 package.rb 文 件 内 容 。 


3) create_user.rb 文 件 。 以 下 为 Ruby DSL 编 写 的 create_user.rb 代 码 文件 : 


hostclass :create user do 
i=1 
while i <= 
主人 ser 资 源 批量 他 建 以 user 为 开始 后 接 数字 的 账户 
User "user #{i}", :ensure => :present 
i= i+1 
end # while 循环 结束 符 
end # hostclass 结 束 符 


通过 hostclass 声 明 create_user 类 ， 其 中 hostclass 关 键 字 等 同 于 Puppet 中 的 class。 通 过 Ruby DSL 中 的 while 循 环 调用 user 资 源 在 Agent 上 批量 创建 账号 ， 结 果 如 下 : 


notice: /Stage[main]//User[user 1]/ensure: created 
notice: /Stage[main]//User[user 2]/ensure: created 


notice: /Stage [main]//User[user_ 100]/ensure: created 


当 Agent 的 Hostname (web.example.com) 访问 Master 时 就 会 应 用 这 些 配置 ， 在 Agent 上 创建 相应 的 账号 。 


案例 2 ”通过 Ruby DSL 与 MySQL 组 合 安装 软件 包 


除了 使 用 Ruby 语 言 外 ，Ruby DSL 更 实用 的 是 与 MySQL 数 据 进 行 结合 。 以 安装 软件 包 为 例 ， 将 要 安装 的 软件 包 和 软件 包 的 版 本 存放 到 MySQL 数 据 库 中 ， 通 过 Ruby DSL 与 MySQL 数 据 库 结合 来 安装 这 些 


软件 包 ， 这 也 使 得 我 们 通过 Puppet 管 理 配 置 更 加 灵活 。 在 安装 软件 包 前 首先 需要 确认 MySQL 数 据 库 是 否 已 经 安装 ， 如 果 没 有 安装 的 话 可 以 通过 以 下 命令 来 安装 。 


# gem install mysql 
# gem install ruby-mysql 


MySQL 数 据 库 成 功 安装 后 ， 通 过 以 下 方式 来 创建 数据 库 、 表 和 追加 数据 。 


# mysql -~u root -p # 进入 mysql 管 理 界面 

mysql> create database cmdb; # 创建 cmdb 库 

mysql> use cmdb; ”## 切换 到 cmdb 库 

mysql> create table packages (id We (oe name VARCHAR(40)，version VARCHAR(20) ) ; # 创建 表 
mysql> insert into packages values ( 1," "2:7.2.330-1lubuntu4"); “# 插入 数据 库 

mysql> quit; 


确认 数据 库 安装 完毕 后 ， 建 立 数据 库 名 与 表 ， 并 向 数据 库 中 追加 数据 。 其 中 ，1 表 示 追 加 数据 的 序号 ;vim 表示 安装 的 软件 名 ; 2:7.2.330-1ubuntu4 为 vim 软 件 包 的 发 行 版 本 。 


以 下 为 Ruby DSL 编 写 的 site.rb 代 码 文 件 : 


require 'mysql' # A 
hostclass :packages do # 定义 packages 类 
Co = Mysql.new('localhost'，'root',，''，'cmdb') # 连接 数据 库 
gs = conn.query('select * from packages， ) # 查询 packages 表 内 容 , 并 将 结果 装 入 Pkgs 对 象 中 
下 “a 历 后 的 数据 传 入 package 资源 ,来 依次 安 装 软件 包 
pkgs.each hash { |P| package pl'name'], :ensure => pl'version'] } 
conn.close 
end # hostclass 结 束 符 
node 'default' do # 定义 默认 节点 
include "packages' # 加 载 packages 类 
end # node 结 束 符 


以 上 代码 片段 含义 : 读 取 MySQL 数 据 库 中 的 软件 包 记录 ， 并 调用 package 资 源 进行 安装 。 


10.3 ”Puppet 的 关系 图 


晰 


通常 情况 下 网 站 或 企业 内 部 网 由 多 名 运 维 工程 师 协作 完成 日 常 的 运 维 工作 。 随 着 我 们 对 Puppet 了 解 和 使 用 的 深入 ， 它 的 代码 也 变 得 越 来 越 复杂 ， 类 与 类 和 资源 与 资源 之 间 的 关联 关系 变 得 越 来 越 不 清 
同时 伴随 着 业务 的 增长 和 人 员 的 交 蔡 ， 如 果 再 不 去 梳理 这 种 关联 ， 让 这 种 情况 继续 下 去 ， 就 有 可 能 引起 配置 逻辑 错误 的 风险 ， 最 终 影响 线 上 的 服务 。 目 前 Puppet 提 供 了 两 种 解决 方案 来 解决 日 常 运营 工 


作 中 面临 的 问题 。 


方案 1: 通过 puppt doc 工 具 生 成 文档 并 不 断 更 新 与 沉淀 。 这 是 解决 代码 复杂 比较 好 的 方法 之 一 。 


方案 2: Puppet 可 以 与 DOT 语 言 结合 ， 并 通过 Graphviz 工 具 绘 制图 形 的 方式 ， 画 出 类 与 资源 之 间 的 关联 关系 图 ， 让 我 们 一 目 了 然 地 了 解 资源 之 间 的 关联 关系 。 它 与 puppet doc 结 合 就 能 很 好 地 解决 模 
块 之 前 关联 不 清晰 和 逻辑 复杂 等 一 些 日 常 运 维 中 遇 到 的 问题 。 


关于 puppet doc 工 具 的 使 用 ， 我 们 曾 在 第 4 章 中 介绍 过 ， 这 里 不 乾 述 。 本 节 主 要 介绍 DOT 语 言 和 Graphviz 工 具 是 如 何 帮助 Puppet 绘 制 关系 | 


网 
器 


10.3.1 .DOT 语言 


DOT 语 言 是 一 种 文本 图 形 描述 语言 ， 它 提供 了 一 种 简单 的 描述 图 形 的 方法 ， 可 以 直观 表达 一 些 思想 或 一 个 程序 的 流程 ， 并 且 可 以 为 人 类 和 计算 机 程序 所 理解 。DOT 语 言 以 .gv 或 .dot 为 扩展 名 。 如 将 a、 
b、cf0d 看 成 模块 ， 以 下 代码 片段 就 是 通过 DOT 语 言 来 描述 模块 之 间 的 关系 的 。 


# test.dot 

digraph graphname { 
er # 描述 模块 之 间 的 关系 ,a 模块 下 游 为 bp 和 c 
b -> gr # b 模 块 下 游 为 a 

} 


如 以 上 代码 所 示 : DOT 语 言 中 通过 -> 描述 模块 与 模块 之 间 的 关系 ， 并 通过 Graphviz 工 具 将 DOT 语 言 代码 转 为 如 


图 10-2 所 示 的 有 向 


区 
回 
学 
中 | 


形 的 方式 来 解析 模块 之 间 的 关系 。 


10-2 ”有 向 图 


这 只 是 DOT 语 言 可 以 生成 的 图 形 之 一 ， 它 还 可 以 生成 无 向 图 ， 并 以 流程 图 和 树 形 图 的 方式 进行 展示 ， 关 于 DOT 语 言 更 多 的 展示 方式 可 以 参考 http://www.graphviz.org/Gallery.php 网 站 。 如 果 觉 得 


见 体 
DoT 语言 


的 代码 比较 复杂 ， 还 可 以 增加 注释 使 其 更 为 详细 ， 这 有 助 于 我 们 日 后 读 懂 代 码 多 辑 。DOT 语 言 中 支持 C 语 言 和 C++ 语 言 中 的 单行 注释 与 多 行 注释 ， 也 支持 Shell 脚 本 的 三 释 方 式 。 具 体 示 例如 下 : 


// 单行 注释 
/* 多 行 


注 
释 */ 


Puppet 可 以 生成 DOT 语 言 的 代码 ， 并 借助 Graphviz 工 具 最 终 绘制 


四 | 


形 。 那 么 什么 是 Graphviz 工 具 呢 ? 如 何 安装 呢 ? 


10.3.2 ”Graphviz 的 安装 


Graphviz 是 一 款 开 源 的 图 形 可 视 化 软件 ， 由 贝尔 实验 室 的 科学 家 们 开发 。 它 在 网 络 、 生 物 信息 学 、 软 件 工程 、 数 据 库 、 网 页 设计 和 机 器 学 习 领 域 中 有 着 广泛 的 应 用 。 目 前 Graphviz 支 持 Fedora、 
RedHat、Ubuntu、Solaris、MacOSs 和 微软 的 Windows 系 列 操作 系统 。 以 下 为 RedHat 发 行 版 本 安装 Graphviz 的 两 种 方式 ， 这 里 笔者 推荐 使 用 yum 安 装 方式 。 


1.yum 安 装 方式 


通过 yum 方 式 来 安装 Graphviz 软 件 包 ，Graphviz 中 包含 了 dot 命 令 与 相关 扩展 包 ， 但 它 默认 并 不 支持 PNG、GIT 和 JPG 等 图 像 格式 ， 还 需要 安装 graphviz-gd 软 件 包 。 安 装 命令 如 下 [1]: 


# yum install graphviz graphviz-gd 


2 .源码 编译 方式 


通过 源码 编译 方式 安装 Graphviz 软 件 包 。 我 们 以 生成 PNG 图 像 格 式 为 例 ， 首 先 需要 编译 安装 libpng 包 ， 用 于 支持 生成 PNG 图 像 ， 接 着 再 编译 安装 Graphviz 软 件 包 。 安 装 过 程 与 命令 如 下 : 


http://sourceforge.net/projects/libpng/ # 下 载 支持 libpng 的 源码 包 地 址 
tar zxf libpng-1.5.1.tar.gz # 解压 libpng 软 件 包 

Gd libpng-1.5.1 

./configure # 配置 

make # 编译 

make install # 安装 1ibpng 软 件 包 

wget http://www.graphviz.org/pub/graphviz/stable/SOURCES/graphviz-2.36.0.tar.gz 
下 载 graphviz 源 码 

tar -xvzf graphviz-2.36.0.tar.gz # 解压 缩 源码 

cd graphviz-2.36.0 # 进入 解压 缩 的 目录 

./configure --prefix=/etc/puppet/graphviz # 指定 安装 目录 

make # 编译 

make install # 安装 

ln -s /etc/puppet/graphviz/bin/dot /usr/bin/dot # dot 二 进 制 文件 的 软 链接 


非 井 井 非 井 井 间 间 井 井 间 井 间 间 


10.3.3 ”Puppet 与 Graphviz 结 合生 成 关系 图 
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@ 


可 以 通过 Graphviz 工 具 来 生成 Puppet 的 关系 图 ， 首 先 以 Agent 安 装 Nginx 服 务 的 代码 逻辑 为 例 ， 看 一 下 生成 关系 


的 案例 。Puppet 的 代码 如 下 : 


# site.pp 
# 安装 Nginx 
package { "Nginx": 
ensure => install, 
before => File['/usr/local/nginx/conf/nginx.conf'], 


} 

# 从 Master 同 步 配 置 文件 

file { '/usr/local/nginx/conf/nginx.conf': 
mode => '600', 
source => 'puppet:///files/nginx/nginx.conf', 
notify=> Service['nginx'], 


} 

# 启动 Nginx 守 护 进 程 

service { 'Nginx': 
ensure => 'running', 
enable => true, 

} 


下 面 简单 分 析 一 下 上 面 代码 片段 : 标题 为 Nginx 的 package 资 源 主要 用 来 安装 Nginx 软 件 包 ， 成 功 安装 软件 包 后 会 通知 标题 为 /usr/local/nginx/conf/nginx.conf 的 file 资 源 将 Nginx 软 件 的 nginx.conf 配 


置 文件 由 Master 服 务 器 同步 到 Agent 的 指定 位 置 ， 成 功 同步 后 通知 标题 为 Nginx 的 service 资 源 启动 Nginx。 由 于 它 在 每 个 资源 中 使 用 了 资源 的 公有 属性 来 建立 资源 与 资源 之 间 的 关系 ， 我 们 可 以 通过 这 一 功 
能 来 生成 DOT 语 言 ， 并 最 终 转 为 有 向 图 ， 通 过 图 形 查 看 资源 之 间 关 系 。 


接着 通过 Puppet 的 --graph 参 数 生 成 DOT 语 言 代码 。 以 下 为 详细 命令 : 


# puppet agent --server example.com --test --graph 


通过 graph 参 数 ， 默 认 情况 下 Puppet 会 生成 3 个 DOT 语 言 源 文件 ， 分 别 是 expanded _relationships.dot、relationships.dot 和 resources.dot， 并 默认 存放 在 /var/lib/puppet/state/graphs/ 目 录 中 。3 


个 文件 的 作用 分 别 如 下 。 


号 


ationships.dot: 显示 资源 之 间 的 关系 。 


' tesoutces.dot: 显示 资源 、 类 之 间 的 层次 结构 关系 。 


@ 
x 


anded_relationships.dot: 更 详细 的 资源 、 类 之 间 的 关系 。 


以 resources.dot 为 例 。Puppet 生 成 的 DOT 语 言 代 码 片 段 如 下 : 


# resources.dot 
digraph Relationships { # 图 片 
label = "Relationships" # 图 片 的 标题 


"File[/usr/local/nginx/conf/nginx.conf]" [ # Puppet 提 取 到 的 file 资 源 标题 
fontsize = 8, # 生成 图 后 的 字体 大 小 
label = "File[/usr/local/nginx/conf/nginx.conf]" # 生成 图 后 的 标题 

] 

"Package [Nginx]" [ Puppet 提 取 到 的 package 资 源 标题 
fontsize = 8, # 生成 图 后 的 字体 大 小 


label = "Package [Nginx]" # 生成 图 后 的 标题 


"File[/usr/local/nginx/conf/nginx.conf]" -> "Service[nginx]" [ # 用 "->" 建 立 资源 的 关系 
fontsize = 8 # 关系 图 中 的 字体 大 小 

] 

"Package [Nginx]" -> "File[/usr/local/nginx/conf/nginx.conf]" [ # 用 "->" 建 立 资源 的 关系 
fontsize = 8 # 关系 图 中 的 字体 大 小 


] 
} 


出] 


最 后 通过 Graphviz 工 具 将 DOT 语 言 转 为 图 片 。 转 换 为 图 片 的 命令 格式 如 下 : 


# dot -t 图 片 格式 DOT 语 言 源 文件 路 径 -o 生成 后 图 片 位 置 


目前 支持 EPS、GIF、JPE、JPEG、JPG、PNG、PS 和 SVG 等 图 片 格式 。 转 换 命 令 如 下 : 


# 转 为 为 PNG 格 式 图 片 
dot -Tpng /var/lib/puppet/state/graphs/relationships.dot -o relationships.png 
# ”转换 为 gif 格 式 图 片 

dot -Tgif /var/lib/puppet/state/graphs/resources.dot -o resources.gif 

# 转换 为 jpe 格 式 图 片 
dot -Tjpe /var/lib/puppet/state/graphs/expanded relationships.dot -o expanded relationships.jpe 


以 Relationships.dot 生 成 的 图 片 为 例 。 从 图 10-3 中 一 目 了 然 地 看 到 Puppet 代 码 片段 中 资源 之 间 的 关联 关系 。 在 一 些 复杂 的 代码 逻辑 下 ， 通 过 关系 图 的 展示 可 以 更 清晰 地 了 解 代 码 之 间 的 逻辑 。 


当 Puppet 代 码 变 得 越 来 越 复杂 时 ， 可 以 通过 这 种 方法 一 目 了 然 地 了 解 资源 间 的 关系 。 与 Puppet doc 工 具 结 合 来 使 用 效果 则 更 好 ， 可 以 生成 一 份 详细 的 运 维 文档 ， 供 系统 维护 人 员 参 考 ， 以 便 进 行 不 定 


期 的 维护 。 


Package [Noinx 


File |/usr/local/nenx 


cont/inemx.cont | 


Service [neinx 


Relationships 


10-3 资源 关联 关系 图 


四 以 空格 做 分 隔 ， 这 里 实际 安装 的 是 两 个 软件 包 graphviz 和 graphviz-gd。 


10.4 puppetlabs-stdlib 详 述 


本 节 主 要 介绍 puppetlabs-stdlib， 它 是 Puppet 官 方 提供 的 众多 扩展 工具 包 之 一 。puppetlabs-stdlib 包 含 了 丰富 的 自 定义 函数 和 部 分 的 资源 、 提 供 者 与 Facter 扩 展 等 。 本 节 重 点 介绍 它 的 函数 功能 ， 同 
时 也 为 下 一 节 的 Puppet 扩 展 做 铺垫 。 如 果 读 者 未 来 的 工作 中 有 独立 开发 函数 的 需求 ， 可 以 从 本 节 开 始 先 了 解 函 数目 录 结 构 、 函 数 作 用 和 函数 工作 原理 ， 为 后 续 开 发 做 铺垫 。 目 前 puppetlabs-stdlib (下 称 
stdlib) 共 提 供 了 3 个 版 本 ， 从 表 10-1 (Y 代 表 支 持 、N 代 表 不 支持 ) 中 可 以 看 出 ， 它 们 对 Puppet 版 本 的 支持 并 不 同 ， 所 以 使 用 stdlib 时 需要 注意 。 


表 10-1 puppetlabs-stdlib 与 Puppet 版 本 对 照 表 


Puppet 版 本 3.x 
stdlib 2 N 
stdlib 3.x 是 
stdlib 4.x Y 


我 们 可 以 通过 puppet module 来 安装 stdlib 扩 展 包 ， 操 作 非 常 简单 。 具 体 如 下 : 


# puppet module install puppetlabs-stdlib 
/etc/puppet/modules _ 
[一 puppetlabs-stdlib (v4.1.0)  # 包 名 (版 本 号 ) 


通过 以 上 方式 安装 ，Puppet 会 从 https://forge.puppetlabs.com 下 载 stdlib 的 安装 包 ， 并 将 它 安装 到 /etc/puppet/modules/stdlib 目 录 中 。 


目前 stdlib 提 供 了 84 个 函数 ， 笔 者 将 它们 分 为 了 5 类 ， 如 表 10-2 所 示 。 后 面 会 结合 案例 介绍 常用 的 chmop、chop、concat、unique、range、dirname、delete、delete at、strftime 和 time 函 数 ， 其 
他 的 函数 与 我 们 介绍 的 常用 函数 使 用 方式 类 似 ， 这 里 就 不 再 一 一 提 及 ， 后 续 使 用 时 再 单独 的 介绍 。 了 解 stdlib 更 多 的 信息 请 参考 https://github.com/puppetlabs/puppetlabs-stdlib。 


表 10-2 stdlib 函 数 表 


分 类 函 数 名 


abs、chomp、chop、l]strip、count、downcase、empty、Istrip、floor、getparam、getvar 、max、min、 


字符 串 困 数 |pick、prefix、reject、reverse、size、sort、squeeze、strip、swapcase 、unique 、upcase 、uriescape、 
capitalize 
hash 员 数 merge、has key、 keys 


eae any2array、concat、flatten、grep、join、delete 、delete at、reject、suffix、member、values、values 
数组 因数 二 和 S 


at、Zlp 
validate_absolute path、 validate array、 validate augeas、validate bool、 validate cmd、 validate_ 
验证 函数 hash、 validate re、validate slength、validate string、 is array、 1s domain name, 1s float、 is_ function 
available 1is hash, is integer、 is ip address, 1s mac address, is numeric、 1s_string、 has interface_ 
with、 has ip address、has ip_network 
Loadyaml (装载 yaml 格式 )、shuffe (生成 随机 数 )、bool2num (布尔 转换 数值 阴 数 )、str2bool (字符 
串 型 转换 为 布尔 )、dirname (获取 文件 路 径 )、to_bytes (转换 bytes)、type (根据 输入 返回 类 型 ， 包 
甘 字符 串 、 数 组 、 喻 希 、 浮 点 型 、 整 形 和 布尔 型 )、parseison json (转换 Puppet 结构 )、parseyaml yaml (# 
换 Puppet 结构 )、get_module_path (获取 模块 路 径 )、fqdn_rotate 、defined_with_params (判读 参数 是 否 
定义 )、str2saltedsha512 (加 密 函 数 )、time (生成 时 间 虐 )、strftime (根据 参数 生成 时 间 )、range (根据 
参数 设置 生成 范围 值 ) 


(1) chmop 与 chop 函 数 


chmop 与 chop 函 数 主 要 用 于 删除 \n” 与 mn”,， 其 中 人 mn” 表示 换行 加 回 车 ， “n” 表 示 换 行 。chmop 函 数 删除 “\n” 与 mn” 后 使 光标 定位 到 行 首 ， 而 chop 函 数 删除 后 使 光标 下 移 一 格 。 
以 下 为 代码 片段 : 


# chmop (hello\n) 
+ 返回 hello 
) 光 标 所 在 处 
} Na 
# 返回 hello (_) 关 标 所 在 外 


(2) concat 合 并 函数 


concat 函 数 可 以 将 两 个 数组 合并 为 一 个 新 数组 ， 它 包含 两 个 参数 ， 分 别 为 要 进行 合并 的 两 个 数组 。 以 下 为 代码 片段 : 


大 -GT Lt 2 
# 竣 回 [1 


以 下 代码 片段 通过 concat 函 数 合并 安装 软件 数组 ， 并 通过 package 资 源 对 合并 后 的 新 数组 进行 安装 。 


$app_array = ['apache', 'mysql', 'memcached'] 
$base array = ['mod ssl','php', 'php-mysql'] 
$install array = concat ($app array, $base array) # 合并 后 的 数组 通过 package 资 源 安装 数组 中 软件 包 
package{ "$install array": 
ensure => present 


} 


(3) unique 排 重 函 数 


unique 函 数 用 于 对 数组 或 字符 串 进行 排 重 。 以 数组 ["a","a","b","b","c","c"] 为 例 ， 经 过 uniuqe 函 数 的 处 理会 将 重复 出 现 的 值 删 除 ， 并 输出 去 重 后 的 结果 。 以 下 为 代码 片段 : 


# wnione ( th ey ,an "bw "bw "cn "ce"]) 原 数组 
# 返回 [" "b", "c"] ”去 重 后 结果 
# oe oabtocy 原 字符 串 


(4) range 根 据 参 数 生成 范 四 


罩 值 


居 参 数 来 生成 范 四 


range 函 数 可 以 根 


值 。 它 包含 两 个 参数 ， 第 一 个 参数 为 起 始 值 ， 第 二 个 参数 为 终止 值 ，range 函 数 会 根据 两 个 参数 值 的 来 


动 补充 中 间 范 车 


值 。 以 下 为 代码 片段 : 


节 | # 生成 0~9 之 间 的 数字 


# range ("0", "9 
# 返回 [0,1,2,3,4,5,6,7,8,9] 

# range ("a", "c") # 生成 a~c 之 间 的 字母 
# 返回 [nan bw "e"] 


(5) dirname 获 取 文 件 路 径 函 数 


dirname 函 数 可 以 根据 输入 文件 绝对 路 径 返回 文件 的 目录 位 置 。 以 下 为 代码 片段 : 


# dirname ('/path/to/a/file.ext') 
# 返回 '/path/to/a' file.ext 文 件 所 在 路 径 


(6) delete 与 delete at 删除 函数 


delete 函 数 用 于 删除 数组 、hash 值 和 字符 串 中 的 值 。 它 包含 两 个 参数 ， 第 一 个 参数 为 输入 值 ( 可 以 是 字符 串 、 数 组 和 hash 值 ) ， 第 二 个 参数 为 要 删除 内 容 。 以 下 为 代码 片段 : 
# delete(['a', 'b','c', 'b'],'b') ”# 删除 数组 中 的 b 

# 返回 ['a','c'] 

# delete ({'a'=>1, 'b'=>2, 'c'=>3}, 'b') # 删除 hash 值 中 的 b 

# 返回 {'a'=>1, 'c'=>3} 

# delete('abracadabra', 'bra') # 删除 字符 串 中 的 bra 

# 返回 'acada' 


delete_at 函 数 用 于 删除 输入 值 的 位 置 。 它 包含 两 个 参数 ， 第 一 个 参数 为 输入 值 ， 第 二 个 参数 为 删除 的 位 置 。 以 下 代码 片段 中 [a",b',"c'] 为 输入 的 数组 ， 由 


组 中 的 “b”， 最 终 返回 


结果 为 [ac]。 以 下 为 代码 片段 : 


于 数组 以 下 标 0 开始 ， 所 以 删除 第 一 个 值 就 是 数 


# delete at(['a','b','c'], 1) 
# 返回 ["a'，'c'] 
(7) strftime 与 time 时 间 函 数 


strftime 与 time 为 时 间 函 数 ， 主 要 生成 规定 格式 的 时 间 和 timestamp 时 间 戳 ， 它 们 是 比较 常用 的 两 个 函数 。 


同步 的 配置 文件 在 本 地 目录 下 备份 


如 当 Master 通 过 file 资 源 向 
们 可 以 借助 strftime 或 time 卫 


Agent 同 步 配置 文件 时 ， 如 果 设 置 了 backup 属 性 ，Agent 会 将 
数 ， 将 生成 的 备份 文件 名 追加 时 间 戳 ， 方 便 我 们 了 解 备份 文件 的 


后 再 从 Master 同 步 最 新 配置 文件 。 


由 于 Puppet 本 身 并 不 提供 时 间 函 数 ， 我 


体 时 间 。 以 下 代码 片段 为 通过 strftime 或 time 函 数 备份 文件 。 


# $suffix = time() 1396088977 
# $suffix = strftime("%Y-%m-%d") 
file {'/etc/httpd/conf/httpd.conf': 
mode =>"'777', 
owner =>'httpd', 
group =>'httpd', 
backup => ".$suffix.bak", 
source => "puppet: ///files/httpd/httpd.conf", 
} 


2012~12-12 


如 以 上 代码 所 示 ， 如 果 使 


time 函 数 默认 会 生成 httpd.conf.1396088977.bak 备 份 文件 ; 如 果 使 


好 识别 ， 同 时 比 time 函 数 更 加 强大 。strftime 可 以 根据 设置 的 参数 输出 不 同 的 


strftime。 
表 10-3 strftime 常 用 参数 表 
参数 
%b 月 (Jan) %B 
%d 日 (01..31) %S 
%e 日 ， 无 前 导 0 (0..31) %M 


10.5 ”Puppet 扩 展 


在 了 解 了 上 节 的 stdlib 的 工作 原理 、 目 录 结 构 和 使 


方法 的 基础 上 ， 本 节 将 介绍 如 何 通过 Ruby 语 言 扩 


展 独 立 的 函数 、 资 源 与 提供 者 功能 。 在 这 之 前 ， 首 先 来 了 解 一 人 Puppet 扩 


strftime 函 数 默认 会 生成 httpd.conf.20121212.bak 备 份 文 件 。 可 以 看 到 strftime 函 数 要 比 time 函 数 更 
期 格式 值 ， 如 表 10-3 所 示 。 关 于 strftime 函 数 的 更 多 参数 请 参考 https://github.com/puppetlabs/puppetlabs-stdlib 中 的 


含 义 
周 (Sunday ) 
月 (January ) 
秒 ( 00..60 ) 
分 (00..59 ) 
24 小 时 (00..23 ) 
月 (01-12 ) 


展 程序 存放 的 位 置 ， 在 


Puppet 中 有 两 个 位 置 可 以 存放 扩展 程序 ， 但 是 错误 的 位 置 可 能 会 降低 Puppet 的 性 能 ， 所 以 在 开发 扩 


10.5.1 Puppet 扩 展 的 目录 结构 


目前 Puppet 的 扩 ; 


展 源 程序 可 以 存放 在 两 个 位 
“位置 1: 默认 存放 位 置 位 在 


' 位 置 2: 存放 在 /etc/puppet/modues/custom， 其 中 custom 为 自 定义 基础 模块 目录 。 


这 里 推荐 使 


位 置 2 来 存放 扩展 程序 ， 


因为 位 置 1 为 Puppet 程 序 主 目录 ， 每 次 Puppet 运 行 时 都 会 加 载 一 次 扩 


展 前 需要 了 解 目录 的 结构 与 不 同 ;然后 介绍 Puppet 的 函数 扩 


展 程序 ， 免 不 了 会 降低 Puppet 的 性 能 。 位 置 2 在 使 


展 ; 最 后 介绍 Puppet 的 类 型 与 提供 者 。 


rubysitedir/puppet/parser/functions/ 目录， 其 中 $rubysitedir 为 Ruby 安 装 目录 位 置 的 变量 ， 通 常 Ruby 会 与 Puppet 安 装 位 置 一 致 。 


时 可 以 通过 include 函 数 实现 随 用 随 调 ， 


从 而 不 影响 Puppet 的 性 能 。 将 已 经 开发 好 的 文件 write _line to file.rb ( 自 定义 函数 ) 、svn.rb (扩展 提供 者 ) 和 repo.rb (扩展 资源 ) 存放 在 这 两 个 位 置 的 方式 如 下 : 


置 。 


(1) 存放 在 位 置 1 


根据 Ruby 安 装 的 方法 不 同 ， 存 放 的 位 置 也 不 一 样 。 可 以 通过 Facter 工 具 查看 $rubysitedir 变 量 找到 Ruby 和 Puppet 的 安装 目录 。 在 下 面 的 例子 中 笔者 就 是 通过 源码 编译 安装 Ruby 以 及 Puppet 环 境 目录 位 


# facter | grep rubysitedir # 查找 Puppet 库 文件 目录 位 置 

rubysitedir => /usr/local/puppet/1ib/ruby/site ruby/1.8 

# cd /usr/local/puppet/1lib/ruby/site ruby/1.8 # 进 入 库 文件 目录 

http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/OEBPS/Text/../puppet/parser/functions/  # 扩展 函数 目 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/../puppet/provider/custom/ # 扩展 提供 者 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/../puppet/parser/functions/ # 扩展 类 型 目录 


在 存放 位 置 1 的 目录 结构 基础 上 ， 分 别 创建 write _line to file.rb、svn.rb 和 repo.rb 源 码 文件 。 


# touch /usr/local/puppet/lib/ruby/site ruby/puppet/parser/functions/write line to file.rb 
# touch /usr/local/puppet/lib/ruby/site ruby/puppet/provider/custom/svn.rb 
# touch /usr/local/puppet/lib/ruby/site ruby/puppet/parser/functions/repo.rb 


(2) 存放 在 位 置 2 


自 定义 模块 目录 结构 位 置 如 下 : 


/etc/puppet/modules 

Custom 

上 一 0 

| init. 

[一 spec 

[一 tests 

[一 lib 
[一 facter 
puppet 

| 一 parser 

[一 functions/，# 扩展 函数 目录 
[一 provider/ 。 ## 扩展 提供 者 目录 
-一 type/repo.rb # 扩展 类 型 目录 


“init.pp 是 模块 必须 加 载 的 初始 化 文件 (没有 此 文件 ， 通 过 include 函 数 加 载 时 会 报错 ) 。 
“ functions 目 录 是 扩展 取 数 的 源 文件 存放 目录 。 


“ provider 目 录 是 Puppet“ 资 源 ” 中 提供 者 源码 文件 存放 目录 (在 本 节 资 源 又 称 为 “类 型 (type)”) 


“type 目 录 是 Puppet“ 资 源 ”源码 存放 目录 。 


在 存放 位 置 2 的 目录 结构 基础 上 ， 分 别 创建 write _line to file.rb、svn.rb 和 repo.rb 源 码 文件 。 


10. 


# touch /etc/puppet/modules/custom/1ib/puppet/parser/functions/write line to file.rb 
# touch /etc/puppet/modules/custom/1ib/puppet/parser/provider/svn.rb 
# touch /etc/puppet/modules/custom/1lib/puppet/parser/type/repo.rb 


5.2 Puppet 函 数 扩展 


本 节 主 要 介绍 如 何 扩展 Puppet 的 自 定义 函数 。 我 们 首先 来 了 解 扩展 自 定义 函数 过 程 中 需要 注意 的 事项 : 


“ 在 一 个 完整 的 Puppet CVS 架 构 中 ， 函 数 由 编译 器 来 执行 。 函 数 只 能 运行 在 Master 端 或 Agent 端 ， 两 者 之 间 的 函 数 并 不 能 相互 的 访问 彼此 的 文件 与 资源 。 
:Master 守护 进程 启动 前 ， 会 将 现 有 函数 装载 到 内 存 中 ， 如 果 对 已 有 的 扩展 函数 进行 了 代码 变更 ， 需 要 及 时 重启 Master 的 守护 进程 ， 新 的 函数 功能 才 会 生效 。 
“ 函数 主要 在 Master 端 使 用 ， 这 意味 着 任何 与 函数 有 关 的 文件 、 库 或 其 他 调用 资源 都 必须 存放 在 Master 端 上 ， 并 且 它 们 的 状态 〈 权 限 、 用 户 所 属 ) 是 可 用 的 。 
“ 函数 编写 时 的 源码 文件 名 必须 与 源码 文件 内 函数 名 一 致 ， 否 则 将 无 法 装载 函数 。 
: 通常 使 用 lookupvar(FACT NAME") 来 代替 Facter[FACT NAME'].value 获 取 Fact 值 。 如 果 lookupvat 函 数 获取 不 到 Fact 值 ， 在 Puppet 3 以 上 版 本 会 返回 nil 值 ， 在 Puppet 2.7 版 本 则 返回 undefined 值 。 
“ 扩展 函数 的 扩展 名 必须 是 .tb。 
下 面 来 介绍 两 个 关于 扩展 函数 的 案例 。 


案例 1 


通过 write_line_to _file 自 定义 扩展 函数 向 文件 追加 内 容 。 


这 里 以 自 定义 模块 目录 为 例 ， 来 介绍 如 何 扩展 自 定义 函数 。write_line_to_file 函 数 包含 两 个 参数 ， 参 数 1 为 追加 文件 的 目标 位 置 ， 参 数 2 为 写 文件 的 内 容 。 编 辑 write line to file.rb， 将 以 下 内 容 追 加 到 


文件 中 。 


# /etc/puppet/modules/custom/1ib/puppet/parser/functions/write line to file.rb 自 定义 函数 文件 全 路 径 
module Puppet::Parser::Functions 
newfunction(:write line to file) do |args| # write line to file 为 函数 名 需要 与 源码 文 


件 名 一 
filename = args[0] # 参数 1 
str = args[1] # 参数 2 
File.open (filename, 'a') {|fd| fd.puts str } 
end 
end 


如 以 上 代码 所 示 ， 通 过 调用 Puppet::Parser::Functions 的 newfunction 方 法 传 入 自 定义 的 函数 名 write_line_to_file。 通 过 args[0] 传 入 写 文件 的 目标 位 置 通过 args[1] 传 入 追加 文件 的 内 容 。 最 后 通过 


File.open 方 法 将 args[1] 的 内 容 追 加 到 args[0] 的 目标 文件 中 ， 这 整个 的 流程 就 是 write_line to _file 自 定义 函数 的 工作 原理 。 在 测试 使 用 write _line_to file 自 定义 函数 前 还 需要 完成 以 下 的 步骤 : 


1) Puppet 在 加 载 扩展 函数 过 程 中 需要 读 取 模块 中 的 init.pp 文 件 。 在 使 用 前 可 以 通过 追加 空 类 的 形式 来 建立 init.pp 文 件 ， 追 加 空 类 的 原因 主要 是 避免 Puppet 加 载 自 定义 函数 时 报错 。 以 下 为 custom 模 


块 的 代码 : 


# /etc/puppet/manifests/etc/puppet/module/custom/manifests/init.pp 
Class custom{ 

# 内 空 
} 


2) 通过 编辑 write line to _file.pp 文 件 来 测试 我 们 开发 的 扩展 函数 结果 。 将 开发 的 扩展 函数 追加 到 文件 中 。 


# /etc/puppet/manifests/etc/puppet/manifests/write line to file.pp 
include custom # 加 载 自 定义 模 模 各 
write line to file( '/tmp/some - file', "Hello world!") 


由 于 这 里 我 们 将 文件 存放 在 了 上 一 节 提 到 的 位 置 2 中 ， 所 以 需要 先 通 过 include 函 数 加 载 custom 模 块 ， 然 后 在 write _line to file 函 数 中 追加 文件 的 路 径 与 文件 名 /tmp/some file; “Hello world” 为 向 
文件 追加 的 内 容 。 


3) 通过 puppet apply write_line_to file.pp 的 方式 来 验证 自 定义 函数 是 否 生成 了 /tmp/some file 文 件 和 内 容 。 


# puppet apply write line to file.pp 
# cat /tmp/some file 
Hello world! 


案例 2 


在 自 定义 函数 中 调用 facts 值 。 


在 案例 1 的 目录 结构 基础 上 ， 再 来 看 如 何在 自 定义 函数 中 调用 facts 值 。 通 常情 况 下 ， 当 Agent 比 较 多 而 又 频繁 访问 Master 时 ， 如 何 均衡 利用 Master 资 源 就 成 为 了 问题 。 在 之 前 的 章节 我 们 也 曾 讨论 过 这 
样 的 问题 ， 这 里 仍然 以 它 为 例 ， 通 过 自 定义 函数 方式 来 解决 这 一 问题 。 这 里 的 解决 方案 其 实 有 很 多 种 ， 如 通过 随机 数 方式 、IP 取 模 方 式 和 MD5 哈 希 Hostname 方 式 ， 但 其 原理 一 样 ， 均 是 通过 cron 资 源 设置 
crontab 的 minute 值 ， 使 其 通过 随机 数 方式 来 让 Agent 随 机 设 定 时 间 访 问 Master， 达 到 均衡 Master 负 载 的 目的 。 


通过 下 面 的 例子 ， 我 们 来 了 解 如 何 获取 Agent 的 IP 值 ， 并 根据 IP 值 取 模 方式 来 达到 均衡 负载 的 目的 。 编 辑 minute from_address.rb 自 定义 函数 ， 将 以 下 内 容 追 加 到 文件 中 。 


# /etc/puppet/modules/custom/1ib/puppet/parser/functions/minute from address.rb # 自 定义 函数 文件 全 路 径 
require 'ipadqr' 
module Puppet: :Parser::Functions 
newfunction (:minute from address, :type => :rvalue) do largs| 
IPRddr .new (lookupvar ('ipaddress')) .to i % 60 # 100kupvar 了 数 获取 外 部 变量 
end 
end 


如 以 上 代码 所 示 ， 首 先 通过 require 加 载 Facter 的 ipaddr 库 ， 此 库 用 途 为 获取 Agent 的 IP 值 ; 接着 通过 调用 Parser:Functions 的 newfunction 方 法 创建 minute_from_address 函 数 ， 并 通过 lookupvar 获 
取 外 部 变量 的 值 ， 然 后 进行 模 除 ; 最终 的 结果 通过 函数 返回 。 


编辑 run some _job_at_a_random _time.pp 文 件 测试 最 终 的 结果 。 追 加 以 下 内 容 到 文件 中 。 


# /etc/puppet/manifests/etc/puppet/manifests/run some job at a random time.pp 
include custom 
cron { run some jb : at a random time: 

command => "/usr/local/sbin/some job", 

minute => minute from address(), # minute_from adqdress 根 据 Agent 的 IP 计 算 随机 数 
bE: 


当 Agent 访 问 Master 时 minute_from_address 函 数 就 会 根据 Agent 的 IP 算 出 它 的 分 钟 值 ， 由 于 不 同 的 IP 是 不 一 致 的 ， 所 以 算出 的 最 终 分 钟 值 也 是 不 一 致 的 ， 从 而 达到 了 Agent 分 时 访问 Master 的 目的 。 


10.5.3 ”Puppet 类 型 与 提供 者 


第 7 章 中 笔者 曾 介绍 过 Puppet 的 资源 ，Puppet 中 每 一 种 资源 用 来 管理 配置 服务 器 的 一 类 功能 ， 如 创建 账号 资源 、 创 建文 件 资源 和 安装 软件 资源 等 。 同 时 Puppet 资 源 的 优势 是 管理 配置 工作 可 以 不 区 分 
操作 系统 的 发 行 版 本 ， 这 也 是 因为 每 个 资源 都 有 自己 相对 独立 的 提供 者 。 以 package 资 源 为 例 ， 它 包含 YUM、APT、GEM 和 MSI 等 20 多 个 提供 者 ， 而 正 是 因为 这 些 提供 者 使 得 Puppet 在 管理 配置 服务 器 
时 不 区 分 操作 系统 发 行 版 本 。 截 至 本 书 出 版 前 ，Puppet 官 方 网 站 共 提 供 了 48 个 资源 ， 如 果 这 些 资源 不 能 满足 我 们 需求 怎么 办 ? 就 可 以 通过 type (类 型 ， 下 称 “ 类 型 ”) 与 provider (提供 者 ) 来 扩展 
Puppet 的 新 功能 ， 这 里 的 所 说 的 “类 型 ”就 是 我 们 Puppet 的 资源 ， 而 提供 者 就 是 扩展 平台 配置 的 一 个 接口 。Puppet 的 类 型 与 提供 者 均 用 Ruby 语 言 开发 ， 在 学 习 扩展 Puppet 的 类 型 与 提供 者 前 最 好 先 阅读 
一 下 Puppet 本 身 自 带 的 类 型 源码 文件 ， 推 荐 从 比较 简单 的 user、host 和 package 资 源 逐 渐 学 习 到 最 后 比较 复杂 的 file 资 源 ， 这 样 会 为 后 续 开 发 扩展 打下 良好 的 基础 。 下 面 通过 案例 来 看 如 何 开 发 Puppet 的 类 
型 与 提供 者 。 


六 


版 本 控制 工具 是 运 维 工 程 师 与 开发 工程 师 的 必 备 工具 ， 对 于 开发 工程 师 来 说 可 以 通过 版 本 控制 工具 并 行 开发 ， 并 通过 版 本 控制 工具 规避 并 行 开发 带 来 的 风险 ， 提 高 开发 的 效率 与 质量 。 对 于 运 维 工程 师 
来 说 可 以 对 线 上 配置 文件 进行 版 本 控制 ， 如 果 在 上 线 过 程 中 由 于 配置 文件 的 原因 导致 问题 产生 ， 通 过 版 本 控制 工具 能 够 及 时 回 滚 配 置 文 件 到 某 个 历史 正确 的 版 本 上 ， 将 风险 降 到 最 低 ， 这 些 都 是 版 本 控制 工 
具 的 优势 。 那 么 是 否 可 以 将 版 本 控制 工具 与 Puppet 语 言 结合 呢 ? 当然 是 可 以 的 。 以 SVN 版 本 控制 工具 为 例 ， 可 以 通过 Puppet 语 言 来 实现 Check out 功 能 ， 也 就 是 将 SVN 中 的 文件 或 目录 ， 通 过 SVN 软 件 下 
载 到 本 机 的 指定 目录 中 。 如 以 下 的 Puppet 代 码 : 


exec { "svn co http://svn.example.com/trunk/ /var/www/wp": 
creates => "/var/waw/wp", 


} 


如 以 上 代码 所 示 ，Puppet 通 过 exec 资 源 调用 SVN 的 命令 ,将 http://svn.example.com/trunk/ 地 址 中 的 目录 Check out 到 本 机 的 /var/www/wp 目 录 。 其 中 SVN 命 令 中 的 co 是 Check out 的 简写 形式 ， 
其 含义 是 导出 SVN 中 的 数据 到 指定 位 置 。 这 种 方式 很 不 错 ， 但 有 没有 更 好 的 方式 呢 ? 其 实 更 好 的 方式 是 将 整个 SVN 的 Check out 功 能 封装 成 Puppet 的 类 型 ， 并 通过 资源 的 形式 来 导出 数据 ， 这 种 方式 也 是 本 
节 将 重点 介绍 的 。 


下 面 我 们 来 扩展 一 个 版 本 控制 工具 的 类 型 ， 用 于 管理 我 们 的 版 本 配置 仓库 。 扩 展 的 类 型 名 为 repo， 在 介绍 扩展 前 需要 了 解 以 下 3 点 : 


“ 类 型 的 源 文件 存放 位 置 为 /etc/puppet/modules/custom/lib/puppet/type/ 目 录 。 
“ 类 型 的 扩展 文件 需要 与 声明 类 型 名 一 致 ， 并 且 扩 展 文件 需 以 *.tb 结 尾 。 


“ 如 果 在 Master/Agent 上 都 需要 使 用 我 们 扩展 的 类 型 与 提供 者 ， 则 需要 开启 Master/Agent 两 端的 puppet.conf 配 置 文件 中 的 pluginsync=true 功 能 ， 通 过 此 功能 Master 就 会 将 开发 后 的 类 型 源 文件 同步 到 Agent 使 
用 (需要 注意 的 是 ， 如 果 使 用 的 是 Puppet 2.7 或 更 低 版 本 ，pluginsync 默 认为 false (关闭 ) ， 需 要 将 它 手动 设置 为 true (打开 ) ， 并 重启 守护 进程 。 如 果 使 用 的 是 Puppet 3 版 本 ，pluginsync 默 认为 true) 。 


下 面 开 始 扩展 Puppet 的 类 型 。 编 辑 repo.rb 将 以 下 内 容 追 加 到 文件 中 。 


# /etc/puppet/modules/custom/1ib/puppet/type/repo.rb 
Puppet: :TYPe.newtype (: repo) do # 声明 资源 ,注意 声明 的 repo 资 源 名 与 文件 名 需要 一 致 
@doc = "Manage repos" # 指定 冯 桔 
ensurable # 开启 ensure 属 性 的 快捷 方式 
# 资源 的 参数 
newparam(:source) do 
desc "The repo source" 
validate do |valuel # validate 钩 子 函数 用 于 遍历 source 值 
if value =~ /^git/ # 匹配 git 
resource[:provider] = :git # 将 git 加 入 提供 者 数组 


else 
resource[:provider] = :svn # 否则 将 svn 加 入 提供 者 数据 组 
end 


end 
isnamevar # 使 用 参数 作为 标题 
end 


# 资源 的 参数 
newparam(:path) do 
desc "Destination path" 
validate do |value| 
unless value =~ /^V [Ia-z0-9]+/ ## 判断 不 匹配 "^\V [a-z0-9]+" 则 抛 出 错误 信息 给 Puppet 


raise ArgumentError , "%s is not a valid file path" % value 


end 
end 
end 
end 


如 以 上 代码 所 示 ，Puppet 通 过 Puppet::Type 中 的 newtype 方 法 来 创建 类 型 ， 类 型 名 为 repo， 需 要 与 文件 名 (repo.rb) 一 致 ，@doc= “Manage repos” 指 定 类 型 的 文档 ; ensurable 用 来 创建 ensure 
属性 的 快捷 方式 ，newparam 方 法 用 来 创建 类 型 的 属性 ， 如 source 属 性 指定 版 本 控制 工具 的 源 ; path 属 性 指定 版 本 控制 工具 的 输出 目标 ;validate 为 钩子 函数 ， 用 于 输入 值 的 合法 性 判断 。 


对 validate 钩 子 函 数 举 例如 下 : 


newparam(:source) do 
valigate do lvalue| # 钩子 函数 ,用 于 输入 值 的 合法 性 判断 
if value =~ /^git/ 


resource[:provider] = :git 
else 

resource[:provider] = :svn 
end 


end 
end 


validate 钩 子 函数 会 匹配 source 属 性 的 值 ， 如 果 匹 配 到 了 git 则 将 git 参 数 赋值 到 resource 数 组 中 的 provider， 如 果 匹 配 到 了 SVN 则 将 SVN 参 数 赋值 到 resource 数 组 中 的 provider。resource 数 组 中 的 
于 最 终 确定 使 用 哪 种 提供 者 ; isnamevar 使 用 参数 作为 类 型 的 标题 ; 最 后 通过 raise ArgumentError 向 Puppet 抛 出 错误 信息 。 


provider, 


一 个 简单 的 repo 类 型 就 开发 好 了 ， 但 它 还 不 能 正常 的 工作 ， 还 需要 提供 者 的 配合 。 这 里 以 SVN 的 提供 者 为 例 ， 创 建 以 下 目录 。 


/etc/puppet/modules/custom/1ib/puppet/provider/repo/ ， ## 在 provider 目 录 下 创建 与 类 型 一 致 的 repo 目 录 


在 http://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15031/OEBPS/Text/../provder/repo 目 录 中 编辑 svn.rb 文 件 ， 并 追加 以 下 内 容 到 文件 中 。 


# /etc/puppet/modules/custom/1ib/puppet/provider/repo/svn.rb 
require 'fileutils' # 加 载 工具 
Puppet: :Type .type (:repo) .Provide (:svn) do # 声明 repo 资 源 的 svn 提 供 者 
desc "SVN SupPort" 
commands :SVncmd => "svn" 
def create # 创建 资源 命令 
svncmd "checkout", resource[:name], resource[:path] 
end 
def destroy # 销毁 资源 命令 
FileUtils.rm rf resource[:path] 
end 
def exists? # 判断 资源 命令 
File.directory? resource[:path] 
end 
end 


如 以 上 代码 所 示 ，repo 类 型 的 提供 者 主要 围绕 着 3 个 方法 ， 它 们 分 别 是 : 


“Create (创建 资源 方法 ) 


“ destory (销毁 资源 方法 ) 


' exists (判断 资源 方法 ) 


首先 代码 加 载 了 fileutils 库 ， 因 为 在 销毁 方法 中 使 用 到 了 fileutils 库 中 的 删除 方法 ;接着 通过 Puppet::Type.type(:repo).provide(:svn) 创 建 repo 类 型 的 SVN 提 供 者 ; 然后 定义 提供 者 的 命令 
commands:svncmd= > “svn”; 最 后 在 3 个 方法 中 分 别 作 处 理 。 


(1) create 创 建 资源 方法 


svncmd 方 法 会 将 SVN 原 路 径 中 的 数据 checkout 到 目标 路 径 中 。 


def create 

# 如 果 将 以 下 命令 转换 为 SVN 命 令 , 它 等 于 swn checkout http://svn.example.com/trunk /var/www/wp 
svncmd "checkout", resource[:name], resource[:path] 

end 


(2) destroy 销 毁 资源 方法 


Puppet 会 将 目标 路 径 中 已 经 存在 的 数据 删除 。 


def destro 

提 如 果 将 以 不 命令 转换 为 系统 命令 , 它 它 等 于 rm -rf /var/www/wp 
FileUtils.rm rf resource[:path] 

end 


(3) exists 判 断 资源 方法 


exists 方 法 会 检查 目标 数据 是 否 存 在 ， 此 方法 的 状态 通常 与 ensure 属 性 的 值 联 系 紧密 。 如 果 exists 方 法 返回 为 false 并 且 ensure 被 设置 为 present， 那 么 create 方 法 就 会 被 调用 ;如 果 exists 方 法 返回 为 
true 同 时 ensure 被 设置 为 absent， 那 么 destory 方 法 就 会 被 调用 。 


Gef exists? 


File.directory? resource[:path] 
end 


我 们 成 功 添加 svn.rb 提 供 者 后 ， 就 可 以 通过 以 下 方式 来 使 用 创建 好 的 repo 资 源 了 。 编 辑 repo.pp 将 以 下 代码 追加 到 文件 中 。 


include custom 

repo { "svn test": 
source => "http://svn.example.com/trunk", # SVN 的 源 路 径 
path => "/var/www/wp", # Check out 的 目标 路 径 
ensure => present, 


i 


当 Agent 访 问 Master 执 行 到 此 资源 时 就 会 从 SVN 中 check out trunk 目 录 到 Agent 的 /var/www/wp 目 录 ， 其 最 终 执行 结果 与 svn co http://svn.example.com/trunk//var/www/wp 一 致 。 


第 11 章 “Puppet 集 群 技术 


架设 好 Puppet 的 C/S 结 构 后 ， 随 着 业务 的 增长 可 能 会 经 常 遇 到 部 分 Agent 的 配置 文件 与 Master 同 步 后 不 一 致 的 状况 ， 进 而 慢 慢 导致 Master 负 载 不 断 变 高 、 下 发 配置 的 时 间 变 长 ， 类 似 的 不 稳定 问题 接 中 


而 至 ， 这 些 问题 很 有 可 能 是 由 Master 达 到 了 服务 的 处 理 瓶 颈 所 导致 的 。 有 的 读者 不 禁 会 问 ， 官 方 网 站 提出 用 最 低 配 置 的 Puppet 服 务 器 可 以 管理 1000 个 节点 的 配置 与 访问 ， 而 我 的 Master 服 务 器 配置 比较 
高 ， 又 小 于 1000 个 节点 为 什么 也 会 出 现 类 似 情况 呢 ? 在 这 里 告诉 大 家 ， 这 是 由 于 Puppet 所 承载 的 业务 形态 不 同 ， 处 理 能 力也 截然 不 同 。 本 章 将 介绍 如 何 避 开 Puppet 的 短 板 ， 从 而 提高 Master 的 处 理性 能 。 
如 Puppet 本 身 并 不 适合 大 文件 的 传输 ， 而 在 使 用 过 程 中 常常 需要 通过 Master 向 Agent 同 步 较 大 的 数据 文件 ， 在 几 百 台 Agent 同 时 访问 Master 时 就 会 达到 Master 的 处 理 瓶 颈 ， 影 响 正常 的 Agent 配 置 同步 ， 
这 时 就 可 以 通过 Puppet 的 Exec 资 源 调用 Rysnc 来 同步 配置 文件 绕 开 Puppet 的 短 板 。 类 似 的 情况 有 很 多 ， 这 些 都 可 在 本 章 找到 答案 。 


本 章 首先 从 Agent 到 Master 端 由 浅 入 深 地 介绍 Master 处 理 瓶 颈 的 解决 方案 ， 读 者 可 根据 自己 的 情况 来 选择 适合 自己 的 方案 。 建 议 读者 能 使 用 单机 方式 提高 Puppet 性 能 就 不 要 使 用 集群 来 管理 ， 尽 量 让 


架构 变 得 简单 可 维护 ， 接 着 通过 LVS 和 DNS 来 介绍 建立 Puppet 集 群 技术 方案 ;最 后 介绍 Puppet 认 证 瓶颈 的 解决 方案 。 


11.1 Master 单机 瓶颈 解决 方案 


本 节 主 要 介绍 在 单机 情况 下 ， 如 何 通过 Master 的 配置 来 解决 处 理 瓶颈 。Master 默 认 使 用 WEBRick 提 供 服务 ， 它 是 一 款 单 进程 的 Web 服 务 器 ， 处 理 能 力 有 限 ， 但 是 可 以 启动 多 Master 守 护 进程 ， 通 过 多 


进程 的 方式 提升 它 的 处 理性 能 。Master 可 以 通过 参数 方式 启动 多 进程 提供 服务 ， 在 Agent 连 接 Master 时 通过 脚本 将 整个 访问 逻辑 封装 起 来 ， 通 过 脚本 生成 随机 数 ， 以 随机 的 方式 访问 Master， 从 而 降低 
Puppet 单 进程 处 理 压 力 ， 提 高 Master 处 理性 能 。 以 下 为 Master 与 Agent 的 封装 脚本 。 


1.Master 端 


Master 多 进程 启动 脚本 。 编 辑 master multiport.sh， 将 以 下 内 容 追 加 到 脚本 文件 中 。 


#!/bin/bash 

# author: wds 

# time : 20140218 

# 设置 默 环境 变量 
PATH="/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/bin/" 
export PATH 

export LC ALI=POSIX 

export LANG=en 

# 设置 Master 启 动 端口 的 数组 
array=(8140 8141 8142 8143) 
for i in ${array[@]} 


do 

# 启动 Mastez 端 口 

nohup puppet master --no-daemonize --verbose --masterport $i --pidfile=/tmp/pPuppet_"$fij".pPid 2>&1 >> /tmp/puppet.log & 
done 


如 以 上 代码 所 示 ， 为 了 避免 脚本 运行 过 程 中 出 现 命令 找 不 到 或 者 乱码 等 问题 ， 首 先 设置 脚本 的 环境 变量 。 接 着 声明 要 启动 的 端口 数组 ， 将 启动 端口 放 入 array 数 组 中 ， 并 通过 for 循 环 来 遍历 此 数组 ， 在 


for 语 名 遍历 过 程 中 通过 puppet 命 令 启动 Master 的 守护 进程 。 启 动 参数 如 下 。 


“ no-daemonize 参 数 : 将 进程 输出 信息 发 送 到 标准 输出 。 
' vetbose 参 数 : 输出 扩展 信息 。 
“ masterport 参 数 : 自 定义 Master 的 端口 。 


“ pidfile 参 数 : 指定 端口 的 pid 文 件 。 


脚本 中 的 for 语 句 会 通过 puppet 命 令 依次 启动 array 数 组 中 的 端口 。 最 后 通过 2> &1> >/tmp/puppet.log 将 启动 过 程 追加 到 puppet.log 文 件 中 。 可 以 通过 netstat--tn| 命 令 确认 最 终 的 执行 结果 。 如 果 端 


口 启动 失败 ， 可 以 通过 /tmp/puppet.log 启 动 过 程 日 志 来 定位 失败 的 原因 。 
# netstat -tnl | grep 814* 
top 0 0 0.0.0.0:8140 和 LISTEN 
top 0 0 0,0.0.038141 $$ LISTEN 
top 0 0 0.0.0.0:8142 Hi LISTEN 
top 0 0 0.0.0.0:8143 LISTEN 
2.Agent 端 


Agent 随 机 访问 Master 脚 本 。 将 以 下 内 容 追 加 到 脚本 文件 中 ， 并 通过 封装 后 的 puppet.sh 脚 本 加 入 crontab 中 来 访问 Master。 


#!/bin/bash 
# author: wds 
# time : 20140218 
# 设置 默 环境 变量 
PATH="/sbin:/usr/sbin:/bin:/usr/bin:/usr/local/bin/" 
export PATH 
export LC ALI=POSIX 
export LANG=en 
# 初始 化 Puppet 相 关 环 境 
PWD=" /etc/puppet" 
_PUPPET="/usr/local/puppet/sbin/puppet agent" 


HOST="puppet .example. com" 
_LOG TIME= date +%Y M、 

工 ! =e ${_PWD}/lock ] && mkdir ${_PWD}/lock 

[ ! -e ${_PWD}/log ] && mkdir ${ PWD}/log 

[ -e /etc/puppet/log/ ] && find /etc/puppet/10g/ -name "*.1og" -mtime +3 -exec rm -rf {} \; 
[ -e /etc/puppet/lock/ ] && find /etc/puppet/lock/ -name "*.lock" -mmin +40 -exec rm -rf {} \; 
# 写 [ 走 函 级 

writelog () 

{ 


echo "$1" >> ${_PWD}/l0g/puppet.1og 


} 

# 加 载 Puppet 的 环境 
environment=$1 

if [ "${environment}" 
ENVIROMENT="testing™" 
elif [ "${environment}" = "development" ];then 

ENVIROMENT="development" 

else 

_ENVIROMENT="production" 

1 

if [ -~e ${_PWD}/lock/puppet.lock ];then 

exit; 

£1i 

touch ${_ PWD}/lock/puppet.lock 

# 随机 访问 Master 策 略 

port=(8140 8141 8142 8143) 

rangd=$ ( ($RANDOM%S$ {#port [@] })) 

if [ "x${port[$rand]}" != "x" ];then 

$ PUPPET --server $ HOST:${port[$rand]} --environment=${ ENVIROMENT} --test | tee >> ${_PWD}/l0g/puppet.1log 
writelog "$ HOST:${port[$rand]} succ" 


"test" ];then 


玉生 
rm -rf ${_PWD}/lock/puppet.lock 
exit 0; 


如 以 上 代码 所 示 ， 主 要 工作 原理 是 通过 在 Agent 生 成 的 随机 端口 ， 随 机 访问 Master 的 端口 数组 ， 以 达到 分 进程 处 理 的 目的 。 整 个 脚本 分 为 以 下 5 个 部 分 。 


1) 设置 脚本 的 环境 变量 与 字符 集 : 众所周知 ，crontab 定 时 任务 中 不 包含 系统 的 环境 变量 ， 这 样 设 置 的 主要 目的 是 避免 出 现 脚本 运行 过 程 中 命令 找 不 到 或 者 乱码 的 问题 。 


2) 初始 化 Puppet 相 关 环境 : 创建 Puppet 运 行 过 程 中 所 需要 用 到 的 目录 。 如 果 已 经 创建 目录 ， 则 根据 目录 中 的 日 志文 件 已 经 创建 超过 3 天 的 进行 清 零 。lock 文 件 是 运行 过 程 中 的 锁 文件 ， 目 的 是 防止 肢 
本 同时 重复 运行 ， 当 此 文件 生成 超过 40 分 钟 ， 则 将 其 删除 。 


3) 写 日 志 函 数 : 用 户 记录 Puppet 执 行 过 程 中 输出 的 日 志 等 信息 ， 方 便 后 续 查找 问题 。 


4) 加 载 Puppet 环 境 : 通过 脚本 的 位 置 参 数 $1 进行 参数 的 合法 性 验证 ， 确 保 输入 参数 只 有 testing (测试 环境 ) 、development (开发 环境 ) 和 production ( 线 上 环境 ) 。 


5) Agent 随 机 访问 Master 策 略 : 首先 定义 随机 访问 Master 的 端口 数组 port， 并 赋值 指定 的 Master 端 口 为 (8140814181428143)， 通 过 $(($RANDOM%$ 人 #port[@])) 中 的 random 函 数 生成 随机 
数 ，${f#port[@]} 值 是 为 数组 的 长 度 ， 随 机 数 模 除 (%) 数组 长 度 ， 得 到 一 个 随机 的 数组 下 标 值 ，random 函 数 会 随机 生成 0~3 之 间 的 数 (数组 下 标 由 0 开始 ) ， 最 终 通过 ${port[$rand]} 变 量 将 random 生 成 
的 随机 数 下 标 取出 。 如 $rand 为 3， 就 会 从 port 数 组 中 取出 下 标 为 3 的 值 ， 也 就 是 8143 端 口 。Agent 脚 本 会 根据 生成 的 此 随机 端口 来 访问 Master。 


11.2 Mongrel 模 式 


本 节 主 要 介绍 如 何 通 过 Mongrel 的 方式 来 提升 Master 的 处 理性 能 。 那 么 什么 是 Mongrel 呢 ? 简单 来 说 它 是 一 款 快速 的 、 基 于 Ruby 的 HTTP1.1Web 应 用 服务 器 ， 可 以 不 借助 任何 框架 来 独立 运行 Ruby 开 
发 的 Web 应 用 ， 同 时 也 可 以 实现 前 端 Web 代 理 功 能 ， 并 可 以 接收 并 处 理 SSL 连 接 。 但 可 惜 的 是 ，Puppet 3 中 已 经 取消 了 对 Mongrel 的 支持 ， 所 以 此 方式 只 适合 在 Puppet 2.7 以 下 版 本 使 用 。 


通常 我 们 将 Mongrel 与 Apache 或 Nginx 的 反 向 代理 功能 结合 使 用 ， 提 升 Puppet 并 发 处 理性 能 。 众 所 周知 Nginx 的 并 发 处 理性 能 要 优 于 Apache， 所 以 本 节 主 要 介绍 Nginx+ Mongrel 的 模式 ， 如 果 读 者 
想 同 时 了 解 Apache+Mongrel 的 模式 ， 可 以 参考 http://projects.puppetlabs.com/projects/puppet/wiki/Using_Mongrel。 


1.Mongrel 与 Nginx 安 装 


Mongrel 目 前 可 以 与 Puppet 2.7 以 下 的 版 本 结合 使 用 ， 但 需要 注意 的 是 ，Puppet 0.23.1 版 本 对 Mongrel 只 做 了 适当 的 支持 ， 因 为 这 一 版 本 不 支持 HTTP 的 X-Client-Verify 验 证 头 ， 所 以 不 能 用 作证 书 的 
签名 。 另 外 建议 使 用 Mongrel 1.1.5 或 者 更 高 的 版 本 。 本 节 以 CentOS 6.5_x86_64 位 系统 为 例 ， 通 过 yum 方 式 来 安装 Mongrel 和 Nginx。 


# yum install rubygem-mongrel nginx 


2.Mongrel 配 置 


安装 好 Mongrel 后 ， 修 改 配 置 文件 让 Master 的 守护 进程 以 MongrelI 方 式 启动 。Puppet 2.7 以 下 版 本 ，Master 的 守护 进程 支持 两 种 启动 方式 ， 默 认 启 动 方式 为 WEBRick 和 Mongrel 可 选 方式 ， 编 
辑 /etc/init.d/puppetmaster (下 称 puppetmaster) 启动 脚本 ， 将 以 下 内 容 追 加 到 puppetmaster 脚 本 的 头 部 。 


PUPPETMASTER PORTS=(18140 18141 18142 18143) 
PUPPETMASTER EXTRA OPTS="--servertype=mongrel --ssl client header=HTTP X SSL SUBJECT" 


如 以 上 配置 所 示 ，PUPPETMASTER_PORTS 为 数组 ， 数 组 中 包含 了 启动 Master 守 护 进 程 的 端口 号 ，PUPPETMASTER_EXTRA_OPTS 为 启动 守护 进程 的 扩展 参数 ， 参 数 中 设置 启动 servertype 方 式 为 
mongrel， 并 设置 ss|_client_header 为 HTTP_X_SSL_ SUBJECT 用 于 SSL 验 证 。 追 加 后 可 以 通过 以 下 方式 启动 。 


# service puppetmaster start 
Starting puppetmaster: 


Port: 18140 [OK ] 
Port: 18141 Loe 1 
Port: 18143 | | 
Port: 18144 [OK ] 


启动 后 别 忘记 通过 netstat--tnl 命 令 再 次 确认 端口 是 否 已 经 启动 。 


# netstat -tnl | grep 1814* 

tcp 0 0 0.0.0.0:18140 0.0.0.0;* LISTEN 
tcp 0 O00.0.0318L41 0.0.0.0;* LISTEN 
tcp 0 0 0.0.0.0:18142 0 0 LISTEN 
tcp 0 0 0.0.0.0:18143 [3 人 昌 S LISTEN 


Mongrel 配 置 成 功 后 Master 暂 时 还 提供 不 了 服务 ， 需 要 配置 并 启动 Nginx， 将 Master 服 务 器 的 默认 8140 端 口 绑 定 到 Nginx 服 务 器 上 ， 并 配置 Nginx 对 8140 端 口 转发 ， 将 请 求 转发 到 Mongrel 的 端口 上 
来 提供 服务 。 


3.Nginx 配 置 


再 来 看 Nginx 反 向 代理 功能 的 配置 文件 。 这 里 以 通过 yum 安 装 Nginx 为 例 。 


由 于 CentOs 版 本 默认 源 中 并 不 包含 Nginx, 需要 通过 以 下 方式 配置 Nginx 源 
http://nginx.org/packages/rhel/6/noarch/RPMS/nginx-release-rhel-6-0.el16.ngx.noarch.rpm 
安装 Nginx 

rpm -ivh nginx 


井 间 非 间 


Nginx 安 装 好 后 ， 接 着 编辑 /usr/local/nginx/conf/nginx_puppet.conf (下 称 nginx_puppet.conf) 文件 ， 将 以 下 内 容 追 加 到 nginx_puppet.conf 文 件 中 。 


# /usr/local/nginx/conf/nginx puppet.conf 


user daemon daemon; 
worker processes 47 
worker rlimit nofile 65535; 
error log /var/log/nginx-puppet .1o0g notice; 
pid /var/run/nginx-puppet .pid; 
events { 
use epoll; 
worker connections 32768; 
} 
http { 
sendfile on; 
tcp_nopush on; 
keepalive timeout 500; 
tcp nodelay on; 


# 设置 转发 的 端口 

upstream puppetmaster { 
server 127.0.0.1:18140; 
server 127.0.0.1:18141; 
server 127.0.0.1:18142; 
server 127.0.0.1:18143; 


} 
# 设置 Puppet 默认 8140 端 口 配 置 
SerVer { 


listen 8140; 
root /etc/puppet; 
# 开启 SSI 验证 功能 
ssl on; 
ssl1_ session timeout 7m; 
ssl certificate /opt/puppet/ssl/certs/puppet .example.com.pem; 
ssl certificate key /opt/puppet/ssl/private_keys/puppet .example.com.pem; 
ssl client certificate /opt/puppet/ssl/ca/ca crt.pem; 
ssl crl /opPt/puppet/ssl/ca/ca_cr1.Pemy 
ssl verify client optional; os 


# 设置 匹配 文件 转发 现 则 

location /production/file content/files/ { 
types { } 
default type application/x-raw; 
alias /etc/puppet/manifests/files/; 


} 
# 设置 匹配 模块 转发 规则 
location ~ /production/file content/modules/.+/ { 
root /etc/puppet/modules; 
types { } 
default type application/x-raw; 
rewrite ^/production/file content/modules/([^/]+)/(.+)$ /$1/files/$2 break; 


} 
# 设置 默认 转发 请 求 


location / { 


proxy_pass http://puppetmaster; 

proxy redirect off; 

Proxy_set_header Host $host; 

Proxy_set header X-Real-IP S$remote addr; 
proxy_ set header X-Forwarded-For S$proxy add x forwarded for; 
Proxy_ set header X-Client-Verify $ssl client verify; 
proxy_set_ header X-SSL-Subject $ssl client s_ dn; 
proxy_ set header X-SSL-Issuer $ssl client i dn; 
proxy buffer size 16k; 中 站 
Proxy buffers 8 32k; 

proxy busy buffers size 64k7 

proxy temp file write size 64k; 

proxy_read timeout 65; 


} 
}#server end 
}#http end 


如 以 上 配置 文件 所 示 ， 整 个 配置 文件 中 包含 了 以 下 6 个 部 分 。 


1) 设置 转发 的 端口 : Puppet 守 护 进 程 将 端口 绑 定 在 18140~18143 之 间 。 通 过 Nginx 的 配置 将 默认 Puppet 的 8140 端 口 接收 请 求 随机 转发 到 18140~ 18143 端 口 之 间 。 


2) 设置 Puppet 默 认 8140 端 口 配置 : 通过 server 对 Nginx 的 8140 端 口 设置 转发 规则 。 规 则 中 包含 对 SSL 验 证 的 转发 、fileserver 请 求 转发 和 modules 基 础 模块 的 转发 。 


3) 开启 SSL 验 证 功能 : 开启 SSL 验 证 功能 ,并 指定 Puppet 证 书 文件 路 径 ， 用 于 处 理 CA 验 证 请 求 。 


4) 设置 匹配 文件 转发 规则 : 通过 Nginx 中 的 location 来 匹配 /production/file_content/files/ 路 径 ， 并 将 请 求 转发 到 /etc/puppet/manifests/files/ 目 录 中 。 


5) 设置 匹配 模块 转发 规则 : 通过 Nginx 中 的 location 来 匹配 /production/file_content/modules/.+/ 路 径 ， 并 将 请 求 转发 到 /etc/puppet/modules 目 录 中 。 


6) 设置 默认 转发 请 求 : 将 以 上 没有 匹配 到 的 请 求 路 径 转 发 到 puppetmaster， 也 就 是 我 们 第 一 部 分 Puppet 守 护 进 程 绑 定 的 端口 上 。 


最 后 在 配置 好 Nginx 后 ， 通 过 以 下 方式 启动 Nginx: 


# /usr/local/nginx/sbin/nginx -t /usr/local/nginx/conf/nginx puppet.conf 


通过 Nginx 的 -t 参 数 加 载 指定 自 定义 的 Nginx 配 置 文 件 。 可 以 通过 netstat-tnllgrep 8140 来 查看 Nginx 端 口 是 否 已 经 启动 。 如 果 已 经 启动 可 以 到 Agent 上 通过 以 下 方式 确认 测试 是 否 可 以 访问 。 


# puppet agent --server PuppPet .example.com --test --noop 


最 后 通过 tcpdump 或 查看 Nginx 的 日 志方 式 确认 Nginx+Mongrel 模 式 是 否 已 经 正常 工作 。 


11.3 Phusion Passenger 


Phusion Passenger (官方 网 站 https://www.phusionpassenger.com/) 模块 也 被 称 为 mod_rails、mod_passenger 或 者 简称 为 Passenger。Passenger 是 一 个 用 于 Ruby 程 序 谋 入 执行 的 Apache 模 
块 ， 由 于 它 并 不 是 Apache 的 标准 模块 ， 所 以 需要 独立 的 安装 ， 这 与 Apache 中 的 mod_php、mod_perl| 模 块 骨 入 PHP 和 Perl| 程 序 非常 相似 。Passenger 可 以 工作 在 任何 POSIX 标 准 的 操作 系统 。 换 句 话说 : 现 


有 的 操作 系统 中 ， 除 了 Microsoft Windows 以 外 都 可 以 很 好 地 支持 Passenger， 包 括 对 32 位 和 64 位 平台 的 支持 。Puppet 官 方 推荐 使 用 Apache+ Passenger 的 方式 来 提升 Master 的 处 理性 能 。 首 先 
Apache+Pssenger 功 能 强大 目 配置 简单 ， 支 持 目前 Puppet 现 有 版 本 (Puppet 2.6、Puppet 2.7 和 Puppet 3.*) ; 其 次 Puppet 3 中 已 经 去 掉 了 对 Mongrel 的 支持 ， 所 以 建议 刚 接触 Puppet 的 读者 优先 使 F 
Passenger 的 方式 来 提升 Master 的 处 理 瓶颈 ;， 最 后 Passenger 除 了 支持 Apache 外 还 支持 Nginx。 下 面 就 从 Passenger 的 安装 讲 起 ， 首 先 介绍 Apache+Passenger 的 环境 安装 、Apache 配 置 和 启动 
Apache+Passenger， 接 着 介绍 Nginx+Passenger 的 安装 。Nginx 的 并 发 处 理 能 力 要 比 Apache 强 ， 随 着 Nginx 软 件 功能 的 不 断 完善 ， 它 受到 很 多 企业 的 青睐 ， 在 Web 软 件 使 用 排行 中 有 逐年 上 升 的 趋势 ， 
所 以 这 里 有 必要 了 解 一 下 Nginx+Passenger 的 整合 与 使 用 。 


11.3.1 Apache+Passenger 


首先 来 安装 Apache+Passenger 所 需要 的 环境 。 以 CentOS 6.5_64 位 系统 为 例 ， 整 个 配置 流程 共 分 为 以 下 七 步 : 


1) 安装 Apache 与 Ruby 环 境 。 


# yum install httpd httpd-devel ruby-devel rubygems mod ssl 


2) 安装 Passenger 环 境 。 这 里 推荐 使 用 配置 gem 的 淘宝 源 来 安装 Passenger， 关 于 淘宝 源 的 配置 方法 请 参考 第 3 章 。 


# gem install rack passenger 


3) 安装 Passenger 后 ， 通 过 passenger-install-apache2-module 命 令 来 自动 生成 Passenger 的 Apache 扩 展 ， 但 在 生成 扩展 前 Passenger 会 检查 以 下 扩展 包 是 否 已 经 安装 。 为 了 避免 安装 过 程 中 报错 ， 
可 以 提前 安装 并 确认 以 下 安装 包 。 


# yum install gcc gcc-c++ curl-devel openssl-devel zlib-devel 


接着 运行 passenger-install-apache2-module 命 令 : 


# passenger-install-apache2-module 

Welcome to the Phusion Passenger Apache 2 module installer, v4.0.41. 

This installer will guide you through the entire installation process. It 
shouldn't take more than 3 minutes in total. 


由 于 输出 的 内 容 比 较 多 ， 这 里 做 了 截取 。 运 行 passenger-install-apache2-module 命 令 后 ， 按 回 车 ， 最 终 它 会 输出 以 下 配置 信息 。 在 配置 Apache 时 需要 将 以 下 的 配置 追加 到 httpd.conf 文 件 的 尾部 ， 
所 以 需要 先 将 以 下 信息 记录 到 文本 文件 里 备用 。 


<IfModule> 
LoadModule passenger module /usr/lib/ruby/gems/1.8/gems/passenger-4.0.42/buildout/apache2/mod passenger.so 
<IfModule mod passenger.c> 
PassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-4.0.42 
PassengerDefaultRuby /usr/bin/ruby 
</IfModule> 


4) 创建 Rack 配 置 目录 与 配置 。 


# 创建 Rack 目 录 

# mkdir -p /etc/puppet/rack{public, tmp} 

# 复制 Rack 配 置 文件 config.ru 

# cp /usr/share/puppet/ext/rack/files/config.ru /etc/puppet/rack/ 
# 设置 目录 的 权限 

# chownn -R puppet:puppet /etc/puppet/rack/ 


5) 编辑 Apache 的 配置 文件 。 为 了 避免 httpd.conf 被 破坏 ， 首 先 将 原始 httpd.conf 文 件 进 行 备份 ， 然 后 将 httpd_conf 改 为 httpd_puppet.conf。 具 体 如 下 : 


# cd /etc/httpd/ && cp httpd.conf httpd.conf.bak && mv httpd.conf.bak httpd puppet.conf 


编辑 /etc/httpd/conf/httpd_puppet.conf 配 置 文件 。 注 释 掉 默认 的 Listen 80， 并 将 以 下 内 容 追 加 到 配置 文件 中 (编辑 httpd_puppet.conf 配 置 文件 后 ， 可 以 通过 ./apachectl configtest 来 验证 
httpd_puppet.conf 语 法 是 否 正确 ) 。 


# 开始 
# 加 载 passenger .so 模块 
LoadModule passenger module /usr/lib/ruby/gems/1.8/gems/passenger-4.0.42/buildout/apache2/mod passenger.so 
<IfModule mod passenger.c> 
PassengerRoot /usr/lib/ruby/gems/1.8/gems/passenger-4.0.42 
PassengerDefaultRuby /usr/bin/ruby 
</IfModule> 
# 配置 Puppet 虚 拟 主机 环境 
Listen 8140 
<VirtualHost *:8140> 
# 开启 Apache 的 SSsL 引 擎 
SSLEngine on 
SSLCipherSuite SSLV2 :-LOW:-EXPORT:RC4+RSR 
SSLCertificateFile /var/lib/puppet/ssl/certs/puppet .example.com.pem 
SSLCertificateKeyFile /var/lib/puppet/ssl/private keys/puppet .example.com.pem 
SSLCertificateChainFile /var/lib/puppet/ssl/ca/ca crt.pem 
SSLCACertificateFile /var/lib/puppet/ssl/ca/ca_crt .pem 
SSLCARevocationFile /var/lib/puppet/ssl/ca/ca_crl .pem 
SSLVerifyClient optional | 
SSLVerifyDepth 1 
SSLOPtions +StdEnvVars 
# 设置 访问 的 头 文件 
RequestHeader set X-SSL-Subject %{SSL CLIENT S_DNje 
RequestHeader set X-Client-DN %{SSL CLIENT S DN}e 
RequestHeader set X-Client-Verify %{SSL CLIENT VERIFY}e 
# 指定 Rack 配 置 的 目录 ,并 设置 目录 的 访问 权限 
DocumentRoot /etc/puppet/rack/public/ 
<Directory /etc/puppet/rack/> 
Options None 
AllowOverride None 
Order allow, deny 
allow from all 
</Directory> 
</VirtualHost> 
# 结束 


6) httpd_puppet.conf 文 件 配置 后 ， 就 可 以 启动 Apache 的 守护 进程 提供 服务 了 。 在 启动 前 需要 先 确认 旧 的 puppetmaster 守 护 进程 是 否 已 经 关闭 ， 如 果 未 关闭 系统 则 会 报端 口 冲突 ， 导 致 Apache 启 动 
失败 。 关 闭 puppetmaster 守 护 进 程 ， 然 后 再 启动 Apache 守 护 进 程 ， 最 后 通过 netstat-tn| 命 令 确认 Apache 是 否 成 功 启动 。 步 又 如 下 : 


# service puppetmaster stop 


# servicd httpd start 
# netstat -tnl | grep 8140 


7) Master 的 守护 进程 启动 后 ， 就 可 以 从 Agent 访 问 Master 的 测试 结果 了 。 笔 者 通过 for 语 句 循环 100 次 来 测试 访问 Master 是 否 工作 正常 。 


# for i in ‘seq 1 100`;qo puppet agent --serVer puppet.example.com --test;done 


观察 Apache 的 日 志 ， 如 果 HTTP 状 态 返 回 码 为 200， 表 示 Apache 工 作 正 常 配置 成 功 。 


# tail -f£f /etc/httpd/logs/access.1o0g 

192.168.110.129 - - [09/May/2014:20:42:14 -0700] "PUT /production/report/bj-web-nginx-1. example.com HTTP/1.1" 200 14 "-" "—" 
192.168.110.129 - - [09/May/2014:20:42:15 -0700] "POST /production/catalog/ 

bj-web-nginx-1 .example.com HTTP/1.1" 200 921 "-" "-" 

192.168.110.129 - - [09/May/2014:20:42:15 -0700] "PUT 

/production/report/bj-web-nginx-1.example.com HTTP/1.1" 200 14 "-" "-—" 


11.3.2 Nginx+Passenger 


我 们 仍然 以 CentOS 6.5_64 位 系统 为 例 ， 介 绍 如 何 安装 Nginx+Passenger。 安 装 Nginx+ Passenger 共 需要 以 下 5 步 。 


1) 软件 环境 的 安装 。 与 Apache+ Passenger 安 装 方式 比较 ， 除 了 不 需要 安装 Apache 相 关 软件 包 外 ， 其 他 都 需要 安装 。 


# yum install gcc gcc-c++ curl-devel openssl-devel zlib-devel ruby-devel rubygems 
# gem install rack passenger 


2) 运行 passenger-install-nginx-module 命 令 ， 它 会 帮 有 我 们 自动 完成 整个 Passenger 配 置 流程 。 运 行 过 程 中 它 会 提示 以 下 两 步 。 
步骤 1 自动 下 载 Nginx 安 装 (推荐 ) 。 
步骤 2 通过 已 经 有 的 Nginx 来 安装 Passenger。 


读者 可 以 根据 自己 的 情况 来 选择 。 


# passenger-install-nginx-module 

# 自动 下 载 Nginx 安 装 整合 Passenger (推荐 ) 

1. Yes: download, compile and install Nginx for me. (recommended) 
The easiest way to get started. A stock Nginx 1.6.0 with Passenger 
support, but with no other additional third party modules, will be 
installed for you to a directory of your choice. 

# 使 用 机 器 自 带 Nginx 安 装 整合 Passenger 

2. No: I want to customize my Nginx installation. (for advanced users) 
Choose this if you want to compile Nginx with more third party modules 
besides Passenger, or if you need to pass additional options to Nginx's 
'configure' script. This installer will 1) ask you for the location of 
the Nginx source code, 2) run the 'configure' script according to your 
instructions, and 3) run 'make install'. 


3) 创建 Rack 所 需要 的 配置 文件 与 目录 。 


# mkdir -P /etc/puppet/rack{public, tmp} 
# cp /usr/share/puppet/ext/rack/files/config.ru /etc/puppet/rack/ 
# chownn -R puppet:puppet /etc/puppet/rack/ 


4) /etc/nginx.conf 配 置 如 下 : 


# 开始 
worker processes 1; 
events { 
worker connections 1024; 


} 

http { 
# 设置 passenger 的 环境 目录 
Passenger root /usr/1lib/ruby/gems/1.8/gems/passenger-4.0.42; 
passenger ruby /usr/bin/ruby; 


include mime.types; 
default type application/octet-stream; 
sendfile [et 


keepalive timeout 65; 


# Passenger 虚 拟 主机 配置 


server { 
listen 8140 ssl; 
Server name Puppet puppet .example.com; 
passenger enabled on; 


# 设置 HTTP 头 用 于 验证 CA 
passenger set cgi param HTTP X CLIENT DN $ssl client s dn; 
passenger set cgi param HTTP X CLIENT VERIFY $ssl client verify; 
# 开启 Nginx 日 下, 通过 此 日 志 监 控 Nginx 服 务 器 的 健康 状态 


access log /var/log/puppet access.10g; 
error log /var/log/puppet error.1og7 
root /etc/puppet/rack/public; 
# 设置 Puppet 证 书 文件 地 址 
ssl certificate /var/lib/puppet/ssl/certs/puppet .example.com.pem; 
ssl certificate key /var/1ib/puppet/ssl/private keys/puppet .example.com.pem; 
S81 Crl /var/lib/puppet/ssl/ca/ca_crl .pem; 
ssl client certificate /var/lib/puppet/ssl/certs/ca.pem; 
ssl ciphers SSLVv2:-LOW: -EXPORT :RC4+RSA; 
ssl prefer server ciphers on; 
ssl verify client optional; 
ssl verify depth Ls 
ssl1_session cache shared:SSL:128m; 
ssl1_session timeout Sm; 
} 
} 
# 结束 


最 后 启动 Nginx， 并 通过 netstat-tnl 命 令 查 看 8140 端 口 是 否 开启 。 


# nginx -t /etc/nginx.conf 
# netstat -tnl | grep 8140 


5) Master 守 护 进程 成 功 启动 后 ， 以 同样 的 方式 通过 for 循 环 测试 100 次 Agent 访 问 Master， 以 查看 是 否 访问 正常 。 


# for i in “seq 1 100`7dqo puppet agent --server puppet .example.com --test;done 


观察 Nginx 的 


# tail -f /var/log/puppet access.log 


192.168.110.129 - - [09/May/2014:22:09:22 -0700] 
09/May/2014:22:09:22 -0700] 
09/May/2014:22:09:24 -0700] 
09/May/2014:22:09:24 -0700] 


192,168.110129 = = 
T92168 .T110129 = = 


[ 
[ 
192,168.110.129 ~ ~- [ 


11.4 ”Puppet 集 群 介绍 


志 ， 如 果 HTTP 状 态 返 回 码 为 200， 则 表示 Nginx 工 作 正 常 ， 配 置 成 功 。 


"POST /production/catalog/bj-web-nginx-1.example.com HTTP/1.1" 200 921 "-" "-" 
"PUT /production/report/bj-web-nginx-1.example.com HTTP/1.1" 200 14 "- 
"POST /production/catalog/bj-web-nginx-1 .example.com HTTP/1.1" 200 921 
"PUT /production/report/bj-web-nginx-1.example.com HTTP/1.1" 200 14 "-" "-" 


在 前 几 节 中 我 们 已 经 了 解 了 多 种 Master 瓶 颈 解决 方案 ， 这 些 解决 方案 目前 还 是 
的 ， 本 节 将 介绍 通过 之 前 的 技术 方案 整合 ， 将 一 台 Master 通 过 负载 均衡 技术 提供 服务 变 成 多 台 Master 协 作 提供 服务 ， 也 就 是 Puppet 集 群 技术 。 本 节 首 先 从 为 什么 建立 集群 介绍 起 ， 然 后 介绍 建立 集群 的 场 


景 ， 并 结合 前 几 节 内 


自 


机 启动 多 进程 ， 或 结合 Web 软 件 的 方式 来 提升 Master 处 理性 能 。 


容 来 分 析 什么 样 的 场景 适合 建立 集群 ， 以 及 建立 集群 的 形式 ， 最 后 分 析 通 过 负载 均衡 软件 和 DNS 建立 集群 的 利 浆 。 


但 通过 这 些 方 式 来 管理 海量 的 服务 器 还 是 远 远 不 够 


票 为 例 ， 来 解释 为 什么 要 建立 Puppet 集 群 。 在 生活 中 我 们 都 买 过 火车 票 ， 特 别 是 在 早 些 年 互联 网 还 不 是 很 发 达 的 时 候 ， 通 常 是 到 火车 站 的 售票 大 厅 买 票 。 进 入 火 


F 站 售票 


EF 要 任务 是 提供 服务 ) ， 售 票 窗 


11.4.1 为 什么 建立 Puppet 集 群 
这 里 以 生活 中 常见 的 火车 票 购 
大 厅 后 我 们 会 看 到 很 多 的 售票 窗口 (可 以 将 窗口 看 为 Master 端 ， 
车 票 时 也 经 常会 遇见 这 样 的 问题 ， 当 旅客 比较 多 的 时 候 ， 一 个 窗口 
力 。 这 时 售票 大 厅 就 要 合理 地 通过 增加 售票 窗口 
度 ， 同 时 也 解决 了 售票 窗口 的 压力 。 建 立 Puppet 集 群 与 售票 大 厅 
服务 不 可 用 。 这 时 就 需要 通过 追加 更 多 Master 的 方式 来 均衡 负载 Agent 的 访问 请 求 ， 保 证 整个 服务 的 可 上 


11.4.2 ”建立 Puppet 集 群 的 场景 


了 解 了 通过 Puppet 建 立 集群 的 目的 


前 ， 先 介绍 一 下 使 


再 来 看 一 下 什么 情况 下 适合 建立 Puppet 和 集群 。 如 果 工 作 场 景 中 只 有 10 台 以 
Puppet 的 机 器 配置 要 求 、 工 作 原理 和 瓶颈 问题 。 只 有 了 解 了 这 些 我 们 才能 知道 在 什么 场景 下 适合 对 


曾 介绍 


笔者 在 第 2 章 中 
可 以 满足 管理 1000 个 Agent。Master| 


理 请 求 的 Web 服 务 器 ， 并 不 适合 大 量 


再 来 看 一 下 Puppet 在 实际 使 用 中 遇 到 


过 Puppet 的 最 低 配 
的 工作 原理 是 通过 WEBRick HTTP 服 务 (一 款 Ruby 内 置 的 Web 服 务 器 ) 接收 Agent 的 请 求 。WEBRick HTTP 服 务 本 身 的 处 理 能 力 有 限 ， 并 且 它 是 一 款 轻 量 级 重 


， 这 里 F 


的 原理 一 样 ， 当 访问 Master 的 Agent 比 较 多 时 ， 就 会 导致 Master 很 必 ， 处 理 请 3 


性 ， 这 也 是 我 们 通过 Pupp 


口 的 用 途 是 为 旅客 提供 售票 的 服务 (可 以 将 旅客 看 为 Agent 端 ， 主 要 任务 是 从 Master 获 取信 息 ) 。 我 们 买 火 


无 法 满足 旅客 的 购 票 需求 ， 导 致 队 尾 旅客 也 越 来 越 多 ， 购 票 的 队伍 越 来 越 长 ， 等 待 的 时 间 也 会 越 来 越 长 ， 同 时 也 对 售票 窗口 
的 方式 ， 缩 短 购 票 时 间 ， 让 等 待 买 票 的 旅客 尽快 买 到 车 票 ， 让 排队 的 旅客 等 待 的 时 间 变 短 ， 这 样 不 但 缓解 了 旅客 


会 变 得 越 来 越 慢 ， 甚 至 会 导致 Master 假 死 ， 
et 建立 集群 的 真正 目的 。 


的 并 发 访问 ， 这 也 是 通过 Puppet 管 理 配 置 海量 服务 器 的 短 板 之 一 。 


的 瓶颈 。 


一 种 瓶颈 。 另 外 Puppet 是 配置 管理 工 


其 主要 目 


1 


的 是 用 来 配置 管理 Agent 的 系统 


大 文件 时 会 导致 Agent 获 取 配 置信 息 超 时 ， 最 终 导致 整个 访问 获取 配置 信息 的 失败 ， 这 也 是 它 的 瓶颈 之 一 。 最 后 就 是 网 络 瓶 颈 ， 如 在 笔者 的 工作 环境 中 ， 根 据 业务 的 


IDC 上 , 目 


的 是 保证 业务 容 灾 与 高 可 用 性 。 同 时 多 1DC 部 署 还 可 以 让 有 
时 ， 最 终 获取 不 到 Master 的 配置 信息 ， 这 也 是 网 络 架构 的 瓶颈 导致 的 


户 就 近 接 入 ， 


问题 。 这 些 都 


最 后 再 来 看 一 下 适合 建立 Puppet 集 群 的 场景 : 


“ 机 器 大 于 1000 个 Agent 的 场景 。 


. 通过 Puppet 同 步 大 量 的 配置 文件 分 发 的 场景 。 


“ 跨 IDC 访 问 Master 的 场景 。 


* Pup 


et SSL 认 证 频繁 超时 的 场景 


实 刚 刚 在 介绍 Master 的 访问 原理 时 就 介绍 到 Puppet 通 过 WEBRick HTTP 服 务 来 处 理 Agent 请 求 时 ，Master 本 身 | 


文件 ， 在 同步 配置 文件 时 ， 并 不 适合 同步 比较 大 


提高 用 户 体 验 。 通 过 Master 管 理 Agent， 当 这 些 


造成 很 大 的 压 


因 等 待 而 产生 的 烦躁 情绪 ， 提 高 旅客 的 满意 


最 终 使 得 整个 


内 的 Agent 是 否 要 建立 Puppet 集 群 呢 ? 答案 是 否定 的 。 在 介绍 Puppet 使 用 场景 之 
Puppet 集 群 ， 来 解决 我 们 运 维 工 作 中 遇 到 的 问题 。 


来 回顾 一 下 。Puppet 官 方 网 站 建议 使 用 Master 的 最 小 机 器 配置 是 双核 CPU，1GB 内 存 ; 推荐 配置 2~4 核 CPU，4GB 以 上 内 存 配 置 ， 这 样 的 配置 大 约 


进程 处 


的 WEBRick HTTP 服 务 的 处 理 能 力 就 是 


的 数据 文件 ， 因 的 文件 同步 工 


为 Puppet 并 非 专业 


， 当 从 Master| 
要 程度 会 将 它 分 别 部 署 在 多 地 | 


同步 较 


Agent 与 Master 不 在 同一 个 IDC 时 ， 部 分 Agent 会 由 了 


是 使 用 Puppet 管 理 配置 经 常 遇见 的 瓶颈 ， 需 


体 问题 具体 分 析 ， 来 看 如 何 解决 这 些 问题 。 


' 通过 Puppet 来 管理 云端 服务 器 ， 如 Openstack、Eucalyptus Cloud、Amazon EC2 和 Google Compute Engine 等 场景 。 


11.4.3 ”集群 负载 均衡 解决 方案 


集群 的 负载 均衡 解决 方案 包括 常见 的 两 种 ， 一 种 为 通过 代理 机 接收 访问 并 按 策略 分 发 这 些 访问 到 


见 的 技术 解决 方案 。 


1. 负 载 均衡 技术 


通过 负载 均衡 技术 来 建设 Puppet 集 群 。 负 载 均衡 技术 的 优势 是 可 以 检测 


请 求 给 后 端 不 可 


节点 大 于 1000 台 服务 器 的 使 


nn 


后 端 机 


的 服务 器 ， 保 障 服务 的 可 
为 虚拟 IP) 技术 来 做 负载 均衡 访问 ， 后 端的 Master 可 以 根据 Agent 访 问 量 平行 的 扩 


器 状态 ， 当 机 器 状态 不 可 用 时 (不 可 用 包括 : 机 器 死机 、 硬 件 故障 、 网 络 故障 和 进程 异常 等 ) ， 负 载 均衡 
性 。 负 载 均衡 技术 中 包含 常见 的 HAProxy、LVS、BiglP、Nginx 和 Apache 等 。 以 LVS 为 例 ， 如 


图 


F 跨 网 的 原 


展 Master。 如 果 LVS 本 身 出 现 故障 导致 服务 不 可 上 


， 我 们 还 可 以 与 HAProxy 结 合 实现 Puppet 服 务 的 高 可 


因 


后 端 机 器 ， 另 一 种 为 通过 DNS 轮训 技术 来 分 发 机 器 的 访问 。 两 种 方式 各 有 利 浆 ， 本 节 将 来 介绍 这 两 种 党 


支 术 可 以 不 发 送 


11-1 所 示 ，Puppet 可 以 通过 LVS 中 的 VIP (virtual IP， 中 文 译 


。 此 技术 适合 


Master 3 


图 11-1 LVS 架 构图 


2.DNS 技 术 


除了 使 用 负载 均衡 技术 外 ， 还 可 以 通过 DNS 轮 询 与 DNS VIEW (DNS 的 “就 近 解 析 ”) 技术 来 解决 Master 的 处 理 瓶 颈 与 网 络 瓶颈 。 首 先 来 了 解 一 下 DNS 轮 询 技 术 ， 它 主要 用 来 解决 Master 的 处 理 瓶 
颈 。DNS 轮 询 技 术 可 以 将 Agent 访 问 随机 地 发 送 到 后 端的 Master 上 处 理 ， 从 而 解决 Master 处 理 瓶 颈 。 但 DNS 轮 询 技术 也 有 它 的 浆 端 ，DNS 轮 询 不 会 检测 后 端 Master 的 状态 ， 当 某 台 Master 状 态 发 生 故 障 或 
者 下 线 时 ，DNS 轮 询 依然 会 将 Agent 请 求 转发 给 发 生 故 障 或 下 线 的 Master， 最 终 导致 Agent 获 取 配 置信 息 失败 。 在 使 用 DNS 轮 询 时 ， 也 需要 注意 避免 由 机 器 下 线 与 故障 的 情况 带 来 的 服务 不 可 用 的 情况 。 


@ 注 意 使 用 DNS 轮 询 技术 时 ， 建 议 后 端 采 用 单独 的 Puppet CA 认证 服务 器 或 采用 稍 后 介绍 的 单 证 书 扩展 解决 方案 。 在 DNS 轮 询 技术 方案 中 使 用 单独 的 CA 认证 服务 器 ，Agent 端 的 配置 需要 设 --ca_server 参 
数 。 

最 后 来 了 解 一 下 DNS VIEW 技术 ， 它 主要 用 来 解决 网 络 瓶颈 (由 于 不 同 的 机 房 可 能 不 在 同一 个 网 络 中 ， 通 过 公 网 传输 数据 就 会 出 现 延 迟 或 丢 包 等 常见 网 络 现象 ， 从 而 影响 Agent 与 Master 的 正常 同步 数 
据 ， 这 种 情况 统称 为 网 络 瓶 颈 ) 。 当 Master 分 布 在 不 同 的 IDC 时 ， 就 可 以 通过 DNS VIEW 技术 根据 Agent 源 或 |P 网 段 来 实现 就 近 解 析 功 能 ， 如 图 11-2 所 示 。 在 每 个 IDC 部 署 相同 逻辑 的 Puppet Master， 让 
不 同 IDC 之 前 间 的 Agent 通 过 DNS VIEW 技术 解析 到 本 IDC 的 Master， 通 过 此 方式 可 绕 开 网 络 瓶颈 对 Agent 与 Master 同 步 数据 的 影响 。 


图 11-2 DNS VIEW 架构 图 


11.5 ”Puppet CA 均衡 负载 
用 单独 的 证 书 来 进行 


用 于 Puppet 集 群 中 SSL 集 中 认证 场景 ， 我 们 可 以 通过 CA 认证 服务 器 与 Puppet 配 置 服务 器 进行 分 离 来 提高 CA 的 处 理性 能 ， 也 可 以 在 所 有 的 Master 使 


Puppet CA 均衡 负载 解决 方案 
认证 。 两 者 对 比 笔者 更 推荐 使 用 单独 证 书 认证 的 方式 ， 因 为 它 更 加 节约 成 本 。 


1. 认 证 解决 方案 
在 建立 Puppet 集 群 后 ， 由 于 证 书 之 间 存 在 序号 与 吊销 列表 等 问题 ， 通 常 将 Agent 关 于 认证 部 分 的 请 求 发 送 到 单独 的 Puppet CA 服务 器 来 集中 处 理 。 更 改 Agent 认 证 请 求 可 以 使 用 以 下 两 种 方式 。 


方式 1: Agent 端 通过 puppet agent--server puppet.example.com--test--ca_server puppetca.example.com 方 式 来 指定 统一 的 认证 服务 器 。 


方式 2: Agent 端 修改 puppet.conf 配 置 文件 ， 增 加 以 下 内 容 。 


[agent] 

masterport = 8140 

environment = production 

server = puppet .example.com 
Ca_server = puppetca.example.com 


要 的 一 个 环节 ， 如 果 Puppet CA 服务 器 出 现 故 障 则 会 导致 整个 Puppet 的 服务 不 可 用 ， 所 以 要 做 好 Puppet CA 服务 器 的 灾 备 ， 通 过 双 机 灾 备 


但 需要 注意 的 是 ，Puppet CA 服务 器 在 整个 流程 中 处 于 很 
来 提升 服务 的 可 用 率 ， 如 图 11-3 所 示 。 


Master 1 


Master 2 


Ivs 负载 均衡 


CA Master 


图 11-3 ”Puppet CA 容 灾 架 构图 


2. 单 证 书 认证 扩展 解决 方案 


在 建立 Puppet 集 群 之 初 ， 由 于 证 书 之 间 存 在 序号 与 吊销 列表 等 问题 ， 我 们 不 得 不 由 一 台独 立 的 Puppet CA 来 提供 Agent 认 证 等 服务 。 下 面 再 来 介绍 一 种 解决 方案 ， 将 单独 的 证 书 平行 分 发 到 其 他 的 
Master 上 共同 使 用 。 笔 者 推荐 使 用 单 证 书 平行 扩展 的 方式 ， 因 为 它 可 以 节省 两 台独 立 的 Puppet CA 主 / 备 服务 器 的 成 本 。 


首先 在 已 经 配置 好 并 生成 了 证 书 文件 的 Master 服 务 器 上 将 证 书目 录 打包 。 以 笔者 的 机 器 运行 环境 为 例 ， 具 体 步骤 如 下 : 


1) 将 puppet.conf 配 置 文件 中 ssldir 参 数 的 目录 路 径 进行 打包 。 


# tar -cvzf server ssl.tar.gz /etc/puppet/server ssl 


2) 将 server_ssl.tar.gz 文 件 同步 到 其 他 Master 服 务 器 上 并 进行 解压 。 


# Masterl (IP:192.168.1.1): Scp server ssl.tar.gz root@192.168.1.2:/etc/puppet/ 
# Master2 (IP:192.168.1.2): tar -xvzf /etc/puppet/server ssl.tar.gz 


3) 在 Master2 上 重新 启动 Pupppetmasterd， 并 测试 Master 是 否 正常 工作 。 


# service puppetmasterd restart 


第 12 章 报告 系统 


在 我 们 通过 Puppet 管 理 海量 服务 器 的 时 候 ， 一 个 配置 变更 发 布 到 服务 器 上 最 终 执行 是 否 能 成 功 ? 整个 配置 变更 耗 时 是 多 少 ? 最 终 的 变更 状态 如 何 ? 这 些 都 是 我 们 通过 Puppet 运 维 海量 服务 器 需要 了 解 
的 核心 指标 。 而 Puppet 为 我 们 提供 了 这 样 一 款 的 工具 ， 它 可 以 直观 地 告诉 我 们 目前 线 上 服务 运行 的 状态 ， 可 以 与 报告 处 理 器 结合 提供 图 形 化 展示 、 报 表 展 示 ， 并 且 在 出 现 问题 的 情况 下 以 邮件 形式 进行 通知 
和 系统 告警 等 ， 让 我 们 对 线 上 服务 的 运营 状态 一 目 了 然 。 如 果 这 些 还 不 能 满足 我 们 的 需求 ， 它 还 可 以 通过 Ruby 语 言 定制 上 报 数据 格式 ， 让 数据 展示 更 加 个 性 化 与 实用 。 另 外 Puppet 还 可 以 对 运营 数据 (如 
变更 、 重 启 、 失 败 和 跳 过 等 数据 ) 进行 沉淀 ， 通 过 对 沉淀 后 的 数据 进行 分 析 ， 可 对 不 合理 之 处 进行 优化 与 改进 。 这 样 一 款 方 便 实用 的 工具 便 是 Puppet 的 报告 系统 。 


12.1 报告 系统 入 门 


Agent 运 行 时 会 生成 一 份 运行 状态 的 报告 ， 并 通过 Puppet::Transaction::Report 类 生成 YAML 格 式 从 Agent 推 送 到 Master 的 指定 目录 下 ， 并 由 Master 进 行 汇总 展示 ， 从 而 使 得 运 维 工程 师 可 以 通过 
Master 的 汇总 展示 了 解 系统 的 运营 状况 。 以 Agent (Hostname 为 agent.web.puppet.example.com) 为 例 ， 它 访问 Master 后 就 会 在 /var/lib/puppet/reports/agent.web.puppet.example.com/ 目 录 下 
找到 这 份 报告 ， 这 份 报告 以 时 间 惟 为 文件 名 ， 以 .yam| 为 扩展 名 。 下 面 我 们 实际 操作 一 次 从 Agent 上 报 一 份 报告 到 Master 上 。 需 要 读者 注意 ， 如 果 是 Puppet 2.7 以 上 的 版 本 ，Agent 默 认 会 推送 报告 到 
Master 的 /var/lib/puppet/reports/ 目 录 中 ， 如 果 是 Puppet 2.7 以 下 的 版 本 ， 需 要 通过 增加 执行 参数 或 修改 puppet.conf 配 置 文件 的 方式 打开 报告 上 报 功能 。 


加 注意 “我们 可 以 通过 Master 的 puppet.conf 中 的 reportdir 参 数 来 修改 报告 存放 的 默认 位 置 。 


Puppet 2.6 版 本 通过 --report 参 数 ， 开 启 Agent 上 报 功 能 的 方式 。 


# puppet agent --server example.com.com -—-test --report 


Agent 通 过 --report 参 数 可 以 打开 报告 上 报 的 功能 。 另 外 还 可 以 通过 修改 Agent 的 puppet.conf 配 置 文件 ， 增 加 report=true 方 式 来 打开 报告 上 报 功 能 。 具 体 的 打开 方法 如 下 : 


[agent] 
report = true 


我 们 以 命令 方式 为 例 ， 在 Agent 通 过 执行 puppet agent--server example.com.com--test--report， 就 会 在 Master 目 录 中 找到 Agent (agent.web.example.com) 上 报 的 报告 。 报 告 内 容 如 下 : 


# cat /var/lib/puppet/reports/agent .web.example.com/201404021107.yaml 
=--- !ruby/object:Puppet: :Transaction: :Report 
report format: 3 
resource statuses: 
Schedule [monthly]: !ruby/object:Puppet::Resource::Status 
resource: Schedule[monthly] 


由 于 报告 的 内 容 比 较 多 ， 所 以 对 以 上 的 内 容 作 了 截取 。 收 到 的 Agent 报 告 主要 包含 以 下 内 容 : 
“ 清单 中 的 资源 和 tag 列 表 。 
“ 清单 中 的 资源 列表 、 成 功 状 态 和 变更 列表 。 


. Pubpet 整 体 运行 耗 时 、Puppet 版 本 号 、 报 告 上 报时 间 、 上 报 格式 等 。 


通过 以 上 报告 截取 的 输出 可 以 了 解 到 报告 内 容 还 是 比较 乱 的， 在 不 借助 工具 的 情况 下 比较 难看 懂 。 其 实 可 以 通过 Agent 的 summarize 参 数 查看 到 主要 的 汇总 信息 ， 这 样 看 起 来 就 比较 清晰 了 。 


# puppet agent --server puppet .example.com --test --summarize 

Events: 

Resources: 
Skipped: 6 
Total: § 


Time: 
Filebucket: 0.00 ”# 备份 耗 时 
File: 0.00 # 文件 耗 时 
Config retrieval: 0.41 # 配置 耗 时 
Total: 0.41 # 耗 时 
Last run: 1396529148 # 最 后 运行 时 间 
Version: 
Config: 1396529148 # 上 报时 间 
Puppet: 2.7.21 # 上 报 版 本 号 


@ 注 意 ”如 果 Master 的 后 端 中 采用 了 均衡 负载 技术 ， 我 们 可 以 修改 Agent 的 puppetconf 中 的 reportserver， 将 上 报信 息 汇 总 到 一 台 集中 的 服务 器 进行 存储 ， 这 也 便于 后 续 的 数据 分 析 。 


12.2 ”报告 处 理 器 


报告 处 理 器 的 作用 是 将 Agent 上 报 的 日 志 根 据 用 户 的 需求 进行 展示 或 告警 。 


通过 命令 方式 可 以 开启 报告 器 。 具 体 的 开启 命令 如 下 : 


# puppet master --reports lo0g,tagmail 


通过 修改 puppet.conf 方 式 也 可 以 开启 报告 器 。 具 体 的 开启 方法 如 下 : 


[master] 
reports = store,1og,tagmail, rrdgraph,http 


下 面 简单 分 析 一 下 上 面 常见 报告 器 的 作用 。 


“ store: 默认 参数 ， 将 报告 存 到 磁盘 上 。 


“ log: 将 报告 发 送 到 系统 的 syslog。 
“ tagmail: 通过 邮件 形式 发 送 报告 给 接收 者 。 
“ rrdgraph: 它 利用 Tobias Oetiker 的 RRD 图 形 库 生成 图 形 来 展示 报告 状态 。 


“ http: 将 报告 POST 到 指定 的 URL， 通 常 与 Dashboard 一 起 使 用 。 


这 里 store 默 认 参 数 就 不 再 介绍 了 ， 如 果 开 启 多 个 报告 器 可 以 “” 作 为 分 隔 。 下 面 分 别 来 看 log、tagmail、rrdgraph 和 http 方 式 的 报告 处 理 器 的 使 用 方式 。 


(1) log 报 告 处 理 器 


log 报 告 处 理 器 会 将 Agent 的 每 一 条 报告 发 送 到 本 机 的 syslog。 并 可 以 通过 syslogfacility 参 数 来 控制 发 送 的 设备 用 户 。 形 式 如 下 : 


[master] 
reports = store,log 
syslogfacility = user 


log 报 告 器 将 Agent 上 报 的 报告 写 入 系统 的 syslog， 其 优势 是 系统 的 syslog 有 很 多 统计 与 分 析 工 具 ， 借 助 这 些 工具 可 以 方便 地 分 析出 日 志 中 存在 的 问题 ， 降 低 日 志 分 析 与 统计 的 成 本 。 


(2) tagmail 报 告 处 理 器 


tagmail 处 理 器 可 以 将 报告 通过 邮件 的 形式 发 送 给 管理 员 ， 每 一 条 邮件 中 包含 了 原始 报告 的 标签 ， 标 签 可 以 帮助 我 们 联系 上 下 文 。 已 经 配置 好 的 tagmail 报 告 处 理 器 的 工作 方式 如 下 : 


# puppet agent --test 

info: Caching catalog for master.hightower.org 
info: Applying configuration version '1314140379' 
notice: Finished catalog run in 0.02 seconds 


执行 后 我 们 会 收 到 以 下 的 邮件 : 


车 


From: reportemaster.hightower.org  # 通过 tagmail.conf 配 置 发 件 邮箱 

Subject : Puppet Report for master.hightower .org # 邮件 标题 

To: kelsey.hightower@gmail.com # 通过 tagmail .conf 配 置 发 送 给 谁 

Message-Id: 20110823225940.363555E87B@master.hightower.org # 邮件 标签 

Date: Tue, 23 Aug 2011 18:59:40 -0400 (EDT) 

Tue Aug 23 18:59:39 -0400 2011 Puppet (info): Caching catalog for master.hightower.org 
Tue Aug 23 18:59:39 -0400 2011 Puppet (info): Applying configuration version '1314140379' 
Tue Aug 23 18:59:39 -0400 2011 Puppet (notice): Finished catalog run in 0.02 seconds 


通过 tagmail 处 理 器 实现 以 上 的 邮件 发 送 形式 ， 需 要 打开 puppet.conf 的 配置 。 开 启 方式 如 下 : 


[master] 

reports = store,tagmail 
reportfrom = webmaster@example.com 
tagmap = $confdir/tagmail .conf 


rrepots 参 数 用 于 设置 开启 报告 处 理 器 ，tagmail 需 要 通过 sendmail 将 报告 以 邮件 形式 发 送 ， 这 里 需要 配置 tagmail.conf 的 配置 文件 。tagmail 配 置 文件 内 容 如 下 : 


all: puppeter@example.com 
Gb, !mail :applexample.com 
err: puppeter err@example.com,puppet err user@example.com 


如 以 上 配置 所 示 ，all、db、err 为 特殊 的 标签 ， 用 于 通知 Puppet 将 哪些 邮件 报告 发 送 给 谁 ， 并 通过 “: ”指定 发 送 的 邮箱 地 址 。all 标 签 用 于 通知 Puppet 将 所 有 的 报告 发 送 给 指定 的 
puppeter@example.com 邮 箱 。db 标 签 中 包含 了 “! ”， 用 于 禁止 将 邮件 报告 发 送 到 指定 的 邮箱 ，db 标 签 会 将 与 db 有 关 的 邮件 禁止 发 送 到 app@example.com 邮 箱 。 最 后 的 err 标 签 表示 日 志 的 级 别 ， 它 
将 配置 运行 过 程 中 的 错误 信息 发 送 到 puppeter_err@example.com 和 puppet_err_user@example.com 邮 箱 。 除 此 之 外 ， 日 志 级 别 还 包含 了 debug、info、notice、warning、alert、emerg、crit 和 
verbose 等 。 建 议 开 启 err 日 志 ， 其 他 日 志 可 以 选择 性 开启 ， 因 为 当 我 们 管理 的 服务 器 比较 多 的 时 候 ， 所 有 日 志 都 开启 就 会 掩盖 重要 的 错误 日 志 信 息 ， 使 发 现 问 题 的 及 时 性 大 打折 扣 。 


(3) rrdgraph 报 告 处 理 器 


J 


rrdgraph 是 一 个 非常 实用 的 报告 处 理 器 ， 它 可 以 生成 RRD 图 形 文件 ， 并 以 这 种 更 直观 的 方式 生成 图 形 化 的 报告 ， 报 告 的 信息 主要 包 
time) 等 ， 这 种 简单 快速 的 方式 可 以 让 我 们 了 解 Agent 的 运行 状况 。 


件 (events) 、 资 源 (resources) 和 获取 事件 (retrieval 


要 想 通 过 rrdgraph 报 告 器 生成 漂亮 的 图 形 报告 ， 还 需要 安装 RRDTools 和 RRD 的 Ruby 绑 定 环境 ，rrdgraph 报 告 器 通过 它们 来 生成 RRD 图 形 文件 。 但 不 幸 的 是 RRD 的 Ruby 绑 定 对 许多 平台 的 支持 状况 并 不 
好 ， 除 了 一 些 基 于 RPM 平台 的 RedHat 和 CentOs 发 行 版 本 外 ， 其 他 的 平台 需要 通过 源码 编译 的 方式 来 安装 。 以 下 是 以 CentOS 6.5_x86_64 位 系统 为 例 的 安装 方式 。 


# yum install rrdtool rrdtool-ruby 


在 Debian/Ubuntu、Fedora 和 RedHat 系 统 安装 时 需要 注意 安装 软件 包 名 ， 如 表 12-1 所 示 。 


表 12-1 rrdtools 软 件 包 名 


操作 系统 软 件 包 
Deblam Ubuntu |rrdtool, librrd2、 librrd2-dev 
Fedora ITrdtool 、rrdtool-ruby 


RedHat irdtool 、Irdtool-ruby 


其 他 发 行 版 本 可 以 通过 源码 编译 的 方式 来 安装 RRD 的 Ruby 绑 定 环 境 。 源 码 编译 方式 如 下 : 


# wget http://rubyforge.org/frs/download.php/13992/RubyRRDtoo1-0.6.0.tgz 
# tar -xvzf RubyRRDtool-0.6.0.tgz 

# cd RubyRRDtool-0.6.0 

# ruby extconf.rb 

# make 

# makein stall 


RRD 环 境 安 装 好 后 ， 接 着 修改 Master 的 puppet.conf 配 置 文 件 ， 添 加 以 下 的 配置 : 


[master] 
reports = store,rrdgraph 


加 入 配置 后 重新 启动 Master 的 守护 进程 。Agent (agent.web.example.com) 访问 Master 后 ， 就 会 看 到 以 下 的 内 容 : 


# 1s /var/lib/puppet/rrd/agent .web.example.com/ 
changes-daily.png events.rrd resources-yearly.png 
changes.html events-weekly.png time-daily.png 


由 于 目录 的 内 容 比 较 多 ， 所 以 笔者 对 以 上 内 容 作 了 截取 。Puppet 开 启 rrdgraph 报 告 器 后 ，Agent 访 问 Master 就 会 在 /var/lib/puppet/rrd/ 目 录 下 生成 以 Agent 的 Hostname 为 名 的 目录 ,目录 中 包含 了 
很 多 的 HTML 文 件 、RRD 文 件 和 PNG 图 像 文件 。 其 中 HTML 文 件 主 要 与 Web 服 务 器 结合 浏览 生成 的 报告 所 使 用 ，RRD 为 图 形 文件 的 源 数 据 文 件 ，PNG 为 生成 后 的 图 像 文 件 ，rrdgraph 会 定期 通过 RRD 图 形 源 
更 新 PNG 图 像 。 我 们 可 以 通过 Web 服 务 器 的 虚拟 目录 的 方式 来 进行 浏览 。 以 Apache 为 例 ， 增 加 虚拟 目录 的 配置 到 httpd.conf 尾 部 。 


Alias /rrd/ "/var/lib/puppet/rrd/" # 指定 Puppet 的 rrdgraph 报 告 器 的 根 目录 
<Directory "/var/1ib/puppet/rrd"> # 指定 Puppet 的 rrdgraph 报 告 器 的 目录 ,设置 目录 的 权限 
Options Indexes MultiViews 

AllowOverride None 

Order allow,deny 

Allow from all 

</Directory> 


修改 后 重启 Apache (service httpd restart) ， 最 后 可 通过 浏览 器 来 进行 查看 ， 如 图 12-1 所 示 。 


OG [1 172.16.49.137/rrd/agent.web.example.com/time.htm 
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图 12-1 trdgraph 报 告 器 生成 的 图 形 


(4) http 报 告 处 理 器 


http 报 告 处 理 器 通常 与 Dashboard 结 合 使 用 ， 我 们 会 在 下 一 章 中 介绍 Puppet 的 Dashboard。http 报 告 器 通过 HTTP 协 议 将 YAML 格 式 数据 ， 以 POST 的 形式 转发 到 一 个 http 或 https 的 URL 进 行 存储 。 修 
改 Master 的 puppet.conf 中 的 reporturl 参 数 来 配置 报告 的 目标 发 送 地 址 。 具 体 如 下 : 


[master] 
reports = store,http a 
reporturl = http://localhost:3000/reports # 发 送 到 本 机 的 Dashboard 


12.3” 自 定义 报告 处 理 器 


如 果 系 统 自 带 的 报告 处 理 器 不 能 满足 我 们 的 需求 ， 还 可 以 通过 Puppet 创 建 自 定义 报告 处 理 器 。 目 前 Puppet 创 建 自 定义 处 理 器 的 常见 方式 有 以 下 两 种 。 


方式 1 使 用 目前 已 经 存储 在 服务 器 上 的 YAML 格 式 源 文件 ， 并 根据 源 文件 进行 分 析 处 理 绘制 图 形 或 导入 数据 库 进行 下 一 步 的 分 析 ， 这 也 是 Dashboard 中 报告 输入 进程 的 工作 原理 。 


方式 2 与 第 10 章 中 介绍 的 扩展 自 定 义 函数 、 类 型 和 提供 者 一 样 ， 通 过 Ruby 语 言 来 创建 自 定义 处 理 器 ， 并 使 用 puppet.ocnf 中 的 pluginsysnc 参 数 同步 自 定义 处 理 器 。 


下 面 以 方式 2 为 例 来 介绍 如 何 创建 自 定 义 处 理 器 。 在 第 10 章 笔者 曾 强调 过 在 通过 Ruby 语 言 扩 展 新 的 功能 前 ， 最 好 先 阅读 一 下 目前 已 有 的 处 理 器 源码 ， 对 现 有 的 处 理 器 原理 有 了 基本 的 了 解 后 再 来 创建 自 
定义 处 理 器 。 下 面 以 log 处 理 器 为 例 来 对 其 代码 与 目录 结构 进行 分 析 ， 然 后 再 来 介绍 如 何 创建 自 定义 报告 处 理 器 。 


12.3.1 log 处 理 器 源码 分 析 


首先 我 们 需要 找到 Puppet 自 带 的 处 理 器 的 位 置 ， 根 据 Puppet 安 装 方式 不 同 ， 源 码 目录 的 存放 位 置 也 不 一 样 。 可 以 通过 Facter 工 具 来 查找 rubysitedir 环 境 变量 的 位 置 ， 最 终 找到 处 理 器 的 源码 目录 。 
体 的 实现 命令 如 下 : 


# facter | grep rubysitedir 
rubysitedir => /usr/lib/ruby/site ruby/1.8/ 


通过 以 上 facter 命 令 输出 可 以 查 到 Puppet 的 安装 目录 ， 通 过 输出 了 解 到 它 是 yum 默 认 的 安装 方式 ，Puppet 的 安装 目录 在 /usr/lib/ruby/site_ruby/1.8/puppet 下 。Puppet 安 装 位 置 找到 了 ， 那 么 处 理 器 
的 源码 位 置 就 在 $rubysitedir/puppet/reports 目 录 下 。 以 下 为 reports 目 录 中 的 报告 处 理 器 源码 文件 。 


# ls /usr/lib/ruby/site ruby/1.8/puppet/reports 
http.rb log.rb puppetdb.rb rrdgraph.rb store.rb tagmail.rb 


以 下 为 log.rb 的 源码 程序 内 容 : 


require 'Puppet/reports'! # 加 载 reports 的 库 文件 

Puppet : :Reports .register report (:1og) do # 声明 1og 处 理 器 (1og 要 与 文件 名 一 致 ) 
desc "Send all received logs to the local log destinations. Usually # 处 理 器 的 描述 文档 
the log destination is syslog." 
def process # 定义 处 理 逻 辑 


self.1ogs.each do |1ogl # 将 运行 日 志 遍 历 到 1og 中 
log.source = "//#{self.host}/#{1l0g.source}" # 追加 客户 端 主机 名 信息 
Puppet: :Util: :Log.newmessage (1og) # 通过 Puppet: :Util: :Log.newmessage 方法 发 送 到 syslog 
end 
end 
end 


如 以 上 代码 所 示 ，Puppet 通 过 Puppet::Reports.register_report 来 声明 处 理 器 ， 在 代码 中 我 们 会 看 到 很 多 的 self.*， 它 们 主要 用 来 提取 信息 ， 可 以 在 表 12-2 中 找到 它们 的 含义 。 


表 12-2 self 方 法 定义 


方 法 名 
self.logs 志 self status 运行 状态 
self.host 主机 self.everonment 客户 端 环境 


self.configuration Version 配置 的 版 本 信息 self.to_yaml 转 为 YAML 格式 输出 


self.metrics 


12.3.2 ” 自 定义 报告 处 理 器 


了 解 了 系统 自 带 的 log 报 告 处 理 器 目录 与 逻辑 后 ， 我 们 来 创建 自己 的 自 定义 报告 处 理 器 ， 其 功能 是 将 一 些 摘要 信息 写 入 summary.txt 文 件 中 。 首 先 创建 自 定义 报告 处 理 器 的 目录 结构 ， 并 介绍 自 定义 报告 
器 开发 过 程 中 的 注意 事项 。 


# mkdir -~p /etc/puppet/modules/custom/ {manifests 1ib} 
# mkdir -~p /etc/puppet/modules/custom/1lib/puppet/reports/ 
# 创建 后 的 目录 结构 
/etc/puppet/modules 
custom 
[一 manifests 
| [一 in 让 .PP # 自 定义 模块 加 载 文件 
[一 lib 
[一 puppet 
上 六 reports 
summary.rb # 自 定义 处 理 器 源码 文件 


如 以 上 目录 结构 所 示 ， 创 建 的 manifests 目 录 主 要 用 于 存放 init.pp 文 件 ， 此 文件 为 用 户 模块 的 初始 化 加 载 ， 如 果 无 初始 化 内 容 ， 可 以 声明 空 类 ， 否 则 会 报错 。 编 辑 init.pp 文 件 内 容 如 下 : 


# /etc/puppet/modules/custom/1ib/puppet/manifests/init.pp 
class custom{ 


接着 创建 reports 目 录 ， 用 于 存放 自 定义 处 理 器 的 源码 文件 。 在 创建 自 定 义 报告 处 理 器 前 ， 需 要 注意 以 下 的 事项 : 


“ 处 理 器 的 名 字 可 以 包含 字母 和 数字 ， 并 且 建 议 名 字 以 字母 作为 开头 。 


“ 处 理 器 源码 需要 用 Ruby 语 言 编 写 ， 并 且 声 明 的 处 理 器 名 需要 与 源 文件 名 一 致 。 


# /etc/puppet/modules/custom/1ib/puppet/1ib/summary. mb 文件 名 summary .rb 
Puppet : :Reports.register report(:summary) do # 声 胃 的 不 本 加 各 2 

# 内 容 省 略 
end 


“ 处 理 器 源码 的 头 部 需要 加 载 require'puppet'Puppet 库 文件 。 


“ Puppet 通 过 Puppet::Reports.register_report0 方 法 来 声明 处 理 器 ， 声 明 过 程 中 不 能 包含 任何 的 参数 。 处 理 器 内 部 还 要 包含 desc 方 法 和 process 方 法 ，desc 方 法 用 来 描述 处 理 器 的 作用 与 使 用 方法 ，process 方 法 
承载 了 处 理 器 的 整个 逻辑 处 理 部 分 。 


Master 开启 报告 器 处 理 功 能 后 ，Agent 访 问 Master 就 会 根据 报告 器 设置 生成 一 份 新 的 报告 ， 并 将 该 报告 存放 在 /var/lib/puppet/reports/Hostnmae/ 目 录 下 。 


接着 编辑 summary.rb 自 定义 报告 器 ， 并 追加 以 下 内 容 到 源 文 件 中 。 


# /etc/puppet/modules/custom/1ib/puppet/1lib/suumary.rb 
require 'Puppet' # 必须 加 载 的 Puppet 头 文件 
Puppet : :Reports .register report (:suumary) do # 创建 自 定义 处 理 器 ,声明 的 处 理 器 名 需要 与 文件 名 一 致 
desc <<-DESC 。 间 desc 方法 
send summary report 
DESC 
def process # process 方 法 
client = self.host 
summary = self.summary 
dir = File.join (Puppet[:reportdir],client) 
client = self.host 
file = "summary.txt" 
destination = File.join(dir, file) 
File.open (destination,"w") do |f| 
£f.write (summary) 
end 
end 
end 


通过 ruby-c summary.rb (-c 是 Ruby 的 语法 检查 参数 ) 检查 Ruby 语 法 是 否 正 确 。 确 认 语法 没有 问题 后 编辑 Master 的 puppet.conf 文 件 ， 追 加 以 下 内 容 到 文件 中 。 


[main] 

pluginsync = true # 开启 扩展 同步 功能 

[master] 

reports = store, summary # 打开 store 默 认 处 理 器 与 summary 自 定义 处 理 器 


编辑 puppet.conf 配 置 文件 后 ， 需 要 重启 Master 的 守护 进程 。 最 后 通过 puppet agent--server puppet.example.com--test 来 验证 结果 。 如 果 测试 成 功 Master 会 在 报告 目录 中 生成 一 份 summary.txt 文 
本 文件 汇总 信息 。 


12.3.3 ”个 性 化 处 理 器 


除了 Puppet 自 带 的 处 理 器 和 自 定义 处 理 器 外 ，Puppet 官 方 网 站 上 还 有 很 多 热心 网 友 提 供 的 个 性 化 处 理 器 ， 这 些 处 理 器 可 以 将 报告 推送 到 手机 或 |PAD 等 一 些 移动 智能 设备 上 。 以 笔者 的 工作 环境 为 例 ， 
可 以 将 处 理 器 的 数据 格式 化 后 上 报到 手机 客户 端 ， 并 通过 手机 客户 端 做 图 形 展示 ， 让 我 们 充分 感受 移动 互联 网 带 来 的 新 体验 ， 如 图 12-2 所 示 。 


手机 运 维 


详细 数据 
i 


加 新 此 据 : [22:05:00|] 5263714 


图 12-2 手机 报告 展示 处 理 器 


读者 可 能 会 有 疑问 ，Puppet 的 处 理 器 将 数据 上 报到 手机 客户 端 ， 那 我 们 是 否 也 需要 了 解 手机 客户 端的 开发 呢 ? 答案 是 否定 的 ， 因 为 现在 国内 很 多 互联 网 公司 ， 如 腾讯 、 新 浪 ， 都 提供 了 各 种 手机 型 号 的 
客户 端 ， 我 们 可 以 借助 这 些 客户 端 来 推送 信息 。 以 下 是 腾讯 与 新 浪 微 博 的 接口 开发 文档 。 


' 腾讯 : http://wiki.open.t.qq.com/index.php/%E9%A6%96%E9%A1%B5。 


“新浪: http://open.weibo.com/wiki/%E9%A6%96%E9%A1%B5。 


我 们 可 以 借助 开发 文档 ， 将 Agent 相 关 的 错误 报告 (如 果 推 送 所 有 的 报告 ， 信 息 量 会 很 大 ， 所 以 建议 大 家 只 推送 错误 报告 ) 推送 到 手机 上 。 除 此 之 外 还 可 以 使 用 Puppet 官 网 已 经 开发 好 的 处 理 器 ， 如 推 
送 IRC 处 理 器 、 推 送 Twitte 处 理 器 、 推 送 Hip-chat 处 理 器 和 推送 GrowlI 处 理 器 等 。 这 些 处 理 器 可 以 在 http://docs.puppetlabs.com/guides/reporting.html 找 到 ， 就 不 再 详细 介绍 。 


第 13 章 Puppet Web GUI 


在 之 前 我 们 掌握 的 知识 体系 中 ， 还 是 使 用 清单 的 方式 来 管理 配置 Agent， 这 一 方式 需要 我 们 登录 到 服务 器 调整 清单 规则 来 配置 Agent。 但 随 着 Puppet 的 


渐 成 熟 与 完善 ， 一 些 围绕 Puppet 的 Web GUI 


开始 出 现 ， 它 们 形成 了 一 套 小 的 生态 系统 ， 使 我 们 无 须 再 登录 服务 器 而 直接 在 Web 界 面 上 管理 配置 Agent。 比 较 常见 的 Web GUI 有 Enterprise Management System (Puppet 企 业 版 Web 管 理 系统 ) 、 
Foreman 和 Puppet Dashboard (Puppet 控 制 台 ) 系统 等 。Enterprise Management System 的 优势 是 企业 可 以 不 设置 专业 的 运 维 工程 师 维护 系统 ， 通 过 购买 Enterprise Management System 官 方 服务 
对 企业 提供 专业 的 技术 支持 ， 劣 势 自 然 是 它 是 收费 的 系统 。Foreman (http://theforeman.org) 是 Ruby on Rails 程 序 ， 它 是 一 个 集成 的 数据 中 心 生命 周期 管理 工具 ， 提 供 了 服务 开通 、 配 置 管理 以 及 报告 
等 功能 。Foreman 的 优势 是 功能 比较 丰富 而 且 免 费 ， 但 劣势 是 一 些 功能 的 配置 比较 复杂 ， 不 如 Puppet Dashboard 简 单 明了 。Puppet Dashboard[1] 由 Puppet 官 方 提供 维护 ， 与 Foreman 一 样 也 是 Ruby 
这 3 款 Web GUI 各 有 利弊 ， 对 于 大 部 分 企业 来 说 没有 一 款 


on Rails 程 序 ， 它 的 优势 是 安装 与 操作 简单 方便 ， 适 用 于 报告 系统 的 数据 展示 与 部 分 的 ENC 管 理 ， 劣 势 是 功能 并 不 强 ， 常 常 需要 借助 清 


单 功 能 。 


Web GUI 完全 适用 于 企业 内 部 网 需求 ， 只 能 是 取长补短 。 所 以 本 章 只 介绍 Puppet Dashboard， 让 读者 了 解 它 的 安装 、 配 置 与 使 用 流程 ， 建 议 有 开发 能 力 的 读者 可 以 结合 本 章 对 Puppet Dashboard 的 介 


绍 ， 并 借助 一 些 开源 的 框架 (前台 框架 推荐 Bootstrap 与 Easyui， 后 台 框 架 推荐 Doitphp 与 PHP Cl 等 ) 独立 开发 更 适合 自己 的 Web GUI， 


需求 ， 鉴 于 篇 幅 的 原因 不 在 这 里 详细 介绍 。 


这 也 不 是 什么 难事 。 


本 章 首先 介绍 Puppet Dashboard 的 安装 与 升级 ， 读 者 需要 关注 Puppet Dashboard 安 装 过 程 中 的 一 些 辅助 软件 包 的 安装 与 注意 导 
介绍 Dashboard 应 用 场景 ， 同 时 也 包含 了 人 们 经 常 关注 的 问题 的 解决 方法 ， 如 Dashboard 的 安全 问题 等 ， 最 后 介绍 Dashboard 与 Nginx 提 升 性 能 ， 由 


过 Nginx 将 Webrick 蔡 换 为 Web 服 务 器 。 


[由 参见 http://docs.puppetlabs.com/dashboard/manual/1.2/。 


13.1 Puppet Dashboard 安 装 与 升级 


Agent 会 定期 上 报 日 志 到 Master， 由 于 我 们 管理 的 Agent 比 较 多 ， 少 量 的 Agent 出 现 故 障 时 ， 快 速 定位 出 现 故障 的 Agent 是 摆 在 运 维 工程 师 


H 


关于 Web GUI 的 独立 开发 ， 不 同 的 人 有 不 同 的 


项 ; 接着 介绍 配置 Puppet Dashboard， 通 过 4 步 让 它 启动 起 来 ; 然后 
于 Webrick 的 性 能 并 不 强劲 ， 所 以 建议 在 生产 环境 中 通 


前 的 一 道 难题 。 而 Puppet 正 巧 提供 了 一 款 工 具 来 解决 这 样 


的 问题 ， 它 将 数据 可 视 化 地 建立 了 数值 与 人 的 连接 ， 借 助 图 形 的 力量 ， 清 晰 有 效 地 展示 了 问题 的 所 在 ， 这 款 工 具 就 是 Puppet Dashboard。Puppet Dashboard (中 文 译 为 “Puppet 控 制 台 ”， 下 称 


Dashboard) 由 官方 网 站 提供 开发 与 维护 。Dashboard 是 基于 Ruby on Rails 的 Web 程 序 ， 可 以 运行 在 大 多 数 的 UNIX/Linux 系 统 平台 (包含 Mac OS 系 统 ) 。 


十 所 


优势 是 可 以 通过 Web 方 式 查看 现 有 Master/Agent 的 工作 状态 ， 通 过 ENC 方 式 从 Web 庙 来 管理 Puppet 节 点 和 统计 分 析 Agent 上 报 的 日 志 等 。 


Dashboarq 适 合 海量 服务 器 的 管理 场景 ， 它 的 


笔者 以 安装 Dashboard-1.2.23 版 本 为 例 来 介绍 整个 Dashboard 的 安装 过 程 (此 版 本 为 2013 年 5 月 14 日 更 新 的 版 本 ， 截 止 到 本 书 发 行 前 此 版 本 没有 再 更 新 ， 可 见 此 版 本 已 经 基本 稳定 ， 没 有 严重 的 漏洞 。 
另外 Puppetlabs 也 有 意向 让 用 户 向 Puppet 企 业 收费 版 本 转移 ) 。 在 安装 Dashboard 前 需要 预先 安装 好 相关 依赖 环境 ， 包 括 Ruby1.8.7 版 本 (Dashboard 对 Ruby1.9.2 的 支持 并 不 完全 ) 和 用 于 存储 数据 的 开 
源 关系 型 数据 库 MySQLIT]， 目 前 Dashboard 只 支持 MySQL 作 为 后 端 存 储 ， 相 信 不 久 的 将 来 Puppet 会 支持 更 多 的 数据 库 系统 。 除 了 Ruby 和 MySQL 软 件 包 之 外 Dashboard 还 需要 安装 以 下 软件 包 支持 。 


“ RubyGems: 它 是 一 个 库 和 程序 的 标准 化 打包 以 及 安装 框架 ， 使 得 定位 、 安 装 、 升 级 和 卸载 Ruby 包 变 得 更 加 容易 。 


: Rake 0.8.3 或 更 高 版 本 : Rake 是 一 门 构建 语言 ， 与 Make 很 相像 。 它 是 用 Ruby 编 写 的 ， 支 持 它 自己 的 DSL 用 来 处 理 和 维护 Ruby 应 用 程序 。 


“ Ruby-MySQL 2.7.* 或 2.8.* 版 本 : MYySQL 数 据 库 连接 驱动 ， 用 于 建立 Puppet 与 数据 库 的 连接 。 


1. 在 RedHat 上 安装 Dashboard 需 要 的 辅助 软件 包 


如 果 在 我 们 之 前 安装 过 Master 的 服务 器 上 安装 Dashboard， 可 以 通过 以 下 的 yum 直 接 安装 这 些 辅助 的 软件 包 。 


# yum install rubygems rubygem-rake mysql-server mysql-devel ruby-mysql 


如 果 是 单独 搭建 新 的 Dashboard 服 务 器 ， 除 以 上 安装 包 外 ， 还 需要 追加 以 下 的 安装 包 : 


# yum install ruby-1.8.7 ruby-devel -ruby-irb ruby-rdoc ruby-ri 


另外 如 果 我 们 使 用 比较 老 的 操作 系统 发 行 版 本 ， 如 RedHat 以 及 CentOS 的 5.x 版 本 ，yum 安 装 的 RubyGems 包 管理 系统 还 不 太 合 适 


本 ， 编 辑 install rubygems.sh， 将 以 下 内 容 追 加 到 脚本 中 。 


#!/bin/bash 

URIL="http://production.cf. rubygems. org/rubygems/rubygems-1.3.7.tgz" # rubygems 1.3.7 下 载 地 址 
PACKAGE=$ (echo SURL | sed "s/\.[^\.]*$//; s/^.*\///") # 瑟 记 到 cubygems- 1.3.7.tgz 包 名 

cd $ (mktemp -d /tmp/install rubygems .XXXXXXXXXX) && : # 创建 临时 目录 

wget -c -t10 -T20 -q SURL && \ # 下 载 rubygems1.3.7 软 件 包 

tar xfz $PACKAGE.tgz && \ # 解压 安装 包 

cd $PACKAGE && \ 

sudo ruby setup.rb # 安装 rubygems 软 件 包 


执行 命令 sh install_rubygems.sh 安 装 脚本 ， 即 可 安装 RubyGems 软 件 包 环境 。 
2. 在 Ubuntu 上 安装 Dashboard 需 要 的 辅助 软件 包 , 
在 Ubuntu 10.0.4 以 上 版 本 ， 可 以 通过 apt-get 安 装 以 下 的 软件 包 : 


# apt-get install -y build-essential irb libmysql-ruby libmysqlclient- dev \ 
libopenssl-ruby libreadline-ruby mysql-server rake rdoc ri ruby ruby-dev 


， 需 要 通过 源码 的 方式 进行 下 载 安装 。 以 下 为 官方 网 站 提供 的 安装 肢 


需要 注意 的 是 ， 它 与 RedHat 系 统 存在 同样 的 问题 ，RubyGems 并 不 太 适 合 Ubuntu 10.0.4 之 前 的 版 本 ， 所 以 这 里 需要 单独 安装 RubyGems。 在 Ubuntu 上 安装 RubyGems 的 方式 与 RedHat 系 统一 样 ， 需 
通过 源码 方式 安装 ， 读 者 可 以 参考 RedHat 中 的 RubyGems 安 装 脚本 ， 这 里 不 再 单独 介绍 。 在 通过 源码 安装 RubyGems 后 ， 需 要 通过 update-alternatives 命 令 添 加 最 新 的 RubyGems 版 本 作为 默认 的 Gem 


管理 器 。 添 加 方式 如 下 : 


# update-alternatives --install /usr/bin/gem gem /usr/bin/geml.8 1 


3. 安 装 Dashboard 


Dashboard 基 础 环境 安装 后 ， 我 们 来 安装 Dashboard。 安 装 Dashboard 的 方式 比较 灵活 ， 可 以 通过 包 仓库 来 安装 ， 也 可 以 通过 源码 方式 来 安装 ， 还 可 以 通过 GIT 来 安装 。 安 装 后 Dashboard 的 程序 默认 
会 存放 在 /usr/share/puppet-dashboard 目 录 中 。 以 下 为 Dashboard 的 3 种 安装 方式 。 


1) 包 仓库 安装 方式 (推荐 ) : 通过 yum 方 式 来 安装 Dashboard， 适 用 于 RedHat 和 CentOS 发 行 版 本 。 


首先 需要 安装 Puppet 提 供 的 RPM 仓库 。 


# rpm -ivh http://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm 


接着 添加 Puppetlabs 的 GPG 密 钥 。GPG 密 钥 的 作用 是 用 来 验证 下 载 软件 包 的 完整 性 以 及 与 官方 网 站 软件 包 的 一 致 性 。 


# rpm -import http://yum.puppetlabs.com/RPM-GPG-KEY-puppetlabs 


最 后 通过 yum 方 式 来 安装 Dashboard。 


# yum install puppet-dashboard 


同样 的 方式 也 适用 于 Ubuntu 和 Debain 发 行 版 本 ， 通 过 apt-get 方 式 安 装 Dashboard。 


首先 编辑 /etc/apt/sources.list， 添 加 以 下 内 容 : 


deb http://apt.puppetlabs.com/ubuntu lucid main 
deb-src http://apt.puppetlabs.com/ubuntu lucid mani 


接着 添加 Puppetlabs 的 GPG 密 钥 。 


# gpg -recv-key 4BD6EC30 
# gpg -a -export 4BD6EC30 > /tmp/key 
# apt-key add /tmp/key 


然后 更 新 APT。 


# apt-get update 


最 后 安装 Dashboard。 


# apt-get install puppet-dashboard 


2) 通过 源码 方式 安装 Dashboard。 源 码 方式 通常 适用 于 企业 内 部 网 无 法 访问 互联 网 的 场景 。 首 先 下 载 Dashboard-1.2.23 的 软件 包 。 


# wget http://downloads.puppetlabs.com/dashboard/puppet-dashboard-1.2.23.tar.gz 


下 载 后 将 puppet-dashboard-1.2.23.tar.gz 解 压 到 程序 发 布 的 目录 ， 通 常 为 Web 程 序 发 布 目录 ， 以 Apache 为 例 发 布 目录 在 /var/www/html 下 。 


# tar -xvzf puppet-dashboard-1.2.23.tar.gz -C /var/www/htm 


3) 通过 GIT 克 隆 方式 安装 Dashboarq 的 源码 。 适 用 于 各 种 操作 系统 发 行 版 本 。 


# git clone git::/github.com/puppetlabs/puppet-dashboard.git 
# cd puppet-dashboard 
# git checkout v1.2.23 


4. 升 级 Dashboard 


如 果 我 们 使 用 的 Dashboard 版 本 比较 老 ， 可 以 通过 以 下 方式 对 Dashboard 进 行 最 新 版 本 的 升级 。 


# yum update dashboard 


[由 原 开 发 者 为 瑞典 的 MySQL AB 公 司 ， 该 公司 于 2008 年 被 SUN 公 司 收购 。2009 年 ， 甲 骨 文公 司 又 收购 了 SUN 公 司 ， 所 以 目前 MySQL 成 为 Oracle 旗 下 产品 。 


13.2 配置 Dashboard 


Dashboard 是 一 款 Web 程 序 ， 它 的 展示 与 配置 需要 数据 库 的 支持 。 在 初始 化 Dashboard 环 境 后 ， 需 要 通过 以 下 4 步 来 配置 Dashboard 与 数据 库 连 接 的 设置 。 
步骤 1 配置 MySQL 环 境 。 

步骤 2 ”编辑 Dashboard 的 YAML 配 置 文件 。 

步骤 3 ”通过 Rack 填 充 数据 库 。 


步骤 4 ”运行 Dashboard。 


1. 配 置 MySQL 环 境 


通常 MySQL 数 据 库 使 用 的 是 默认 的 配置 ， 并 不 适合 所 有 的 线 上 系统 运行 环境 ， 在 使 用 前 我 们 需要 根据 业务 的 场景 对 MySQL 人 参数 进行 优化 ， 让 它 的 性 能 发 挥 到 极致 。 使 用 Dashboard 也 一 样 ， 修 改 
MySQL 配 置 (默认 位 置 /etc/my.cnf) 文件 中 的 max_allowed_package 参 数 ，MySQL 会 根据 此 默认 配置 参数 限制 Server 接 收 的 数据 包 大 小 。 某 些 情 况 下 ， 在 插入 或 更 新 MySQL 中 的 数据 时 会 被 


max_allowed_packet 参 数 限制 而 导致 失败 ， 所 以 建议 修改 此 值 ， 根 据 硬件 的 配置 推荐 设置 32M 或 者 更 大 。 修 改 方式 分 为 两 种 ， 具 体 如 下 : 


# 方式 1: 修改 /etc/my.cnf 中 的 max_allowed _ package 参数 ,将 此 值 改 为 32M 或 者 更 大 , 修改 后 重启 MySQL 守 护 进 程 


max _ allowed packet = 32M - 
# 方式 2: 通过 MySQL 的 client 来 直接 修改 ,修改 后 即 生效 (MySQL 重启 后 会 失效 ) 
Mysql > set max allowed packet= 33554432 


按 方式 1 修改 后 ， 重 新 启动 MySQL 数 据 库 ， 加 载 最 新 的 配置 。 


# service mysqld restart 


接着 连接 MySQL 数 据 库 ， 创 建 Dashboard 所 需 的 用 户 和 库 ， 并 授权 。 


# 打开 MySQL 

# mysql -uroot (账户 名 ) -p (密码 ) 

# 创建 dashboargd 库 ,并 设置 utf-8 字 符 集 

mysql > create database dashboard character set utf8; 
# 创建 dashboard 用 户 , 并 设置 用 户 密码 为 dashboard 


mysql > create user 'dashboard'@'localhost' IDENTIFIED BY 'dashboard'; 


# 对 dashboard 用 户 , 在 本 地 (localhost) 访 问 MySQL 进 行 授权 


mysql > grant all privileges on dashboard.* to 'dashboard'@'%®'; 


I 
# 刷新 配置 
mysql > flush privileges; 


2 编辑 Dashboard 的 YAML 配 置 文件 


Dashboard 的 配置 文件 通常 存放 在 /usrshare/puppet-dashboard/config/ 目 录 中 。 主 要 是 修改 databases.yml 和 settings.ym| 文 件 。 下 面 将 分 别 介绍 这 两 个 文件 配置 文件 。 


(1) databases.ym| 配 置 文件 


databases.yml 配 置 文件 主 : 


于 Dashboard 连 接 MySQL 的 参数 设置 ， 与 Puppet 的 “环境 ”一 样 ， 它 包含 了 3 种 环境 的 配置 信息 ， 分 别 是 production ( 线 上 环境 ) 、developemnt (开发 环境 ) 和 


test (测试 环境 ) ， 每 个 环境 中 都 包含 了 独立 的 连接 MySQL 的 账号 、 密 码 、 库 、 字 符 集 和 环境 等 信息 。 而 这 些 配置 信息 就 存放 在 databases.yml 配 置 文 件 中 。databases.yml 配 置 文 件 为 YAML 格 式 ， 文 件 内 


容 如 下 : 

# 开始 

production: # 环境 
database: # 数据 库 名 
username : # 访问 数据 库 的 用 户 名 
Password: # 访问 数据 库 的 密码 
encoding # 访问 数据 库 
adapter # 访问 数据 库 

development: 
省 略 

test: 
省 略 

# 结束 


如 以 上 配置 所 示 ， 由 于 development 和 test 环 境 的 设置 内 容 与 production 一 致 ， 所 以 这 里 作 了 省 略 。 我 们 以 production ( 线 上 环境 ) 为 例 ，database 参 数 设置 访问 的 库 名 ; username 参 数 设置 访问 
MySQL 的 用 户 名 ; password 参 数 设 置 访问 MySQL 的 账户 密码 ; encoding 设 置 连接 的 字符 集 ; adapter 设 置 访问 的 方式 。 根 据 之 前 的 MySQL 数 据 库 的 配置 ， 我 们 设置 production ( 线 上 环境 ) 参数 为 以 下 
内 容 (其 他 环境 读者 可 以 在 MySQL 创 建 相应 的 库 、 表 、 账 号 和 密码 后 分 别 设置 ， 由 于 配置 方法 一 致 ， 这 里 不 再 介绍 ) 。 


Production: 


database: dashboard  ”# 访问 数 # 
username: dashboard  ”# 访问 数 # 
password: dashboard ”# 访问 数据 库 
encoding: utf8 # 数据 库 连 符 集 
adapter: mysql # 访问 数据 库 驱 动 


(2) settings.yml 配 置 文件 


于 Dashboard 的 环境 配置 。 配 置 文件 中 包含 时 区 设置 、 


settings.ymn| 


参数 
datetime_ format 
custom logo_ url 
time_ zone 
nodes per page 
classes_per page 
groups_per_page 


reports_per_page 


3. 通 过 Rack 填 充 数据 库 


志 上 报 格 式 设置 和 自 定 义 上 报 地 址 设置 和 Web 页 面 的 翻 页 数 等 设置 。settings.ym| 配 置 文件 常用 参数 如 表 13-1 所 示 。 


表 13-1 settings.yml 文 件 常用 参数 设置 
含义 
时 间 格 式 ， 默 认为 “9%Y-%m-%d %H:%M %Z 


logo 设置 


时 区 设置 。 推 荐 设置 Asia/Shanghai， 即 中 国 时 区 


~ Er 


nodes 分 页 设置 
classes 分 页 设置 
group 分 页 设置 


reports 分 页 设置 


Rack 是 Ruby on rails 程 序 的 命令 接口 ， 通 过 它 可 以 将 Dashboard 默 认 的 库 与 表 结 构 导 入 MySQL 数 据 库 中 。 在 配置 好 databases.yml 文 件 后 ， 只 需要 通过 一 条 命令 即 可 填充 Dashboard 的 数据 库 。 在 填 
充 数据 前 需要 确定 自己 的 位 置 是 否 在 puppet-dashboard 根 目录 中 ， 即 /usr/share/puppet-dashboard 下 。 如 果 不 在 ， 需 要 通过 cd 命令 切换 到 puppet-dashboard 根 目录 中 。 切 换 与 填充 命令 如 下 : 


# cd /usr/share/puppet-dashboard 


# sudo -u puppet-dashboard rake db:migrate RAILS ENV=production 


@ 提 示 。，Rails 本 身 不 包含 运行 过 程 中 的 


“环境 ” 


如 developemnt (开发 环境 ) 和 test( 测 试 环 境 ) 等 。 


填充 命令 执行 后 ， 再 次 通过 mysql 命 令 来 查看 填充 的 结果 。 以 下 为 通过 Rack 成 功 填充 后 的 结 


和 mysql -u dashboard -p Sashooad -D dashboard -e "show tables;" 


delayed job failures 
delayed jobs 

metrics 

node class memberships 
node classes 

node « :group class memberships 
node_ group edges 

node group memberships 
node_groups 

nodes 

old reports 
parameters 

report logs 

reports 

resource events 
resource statuses 
schema migrations 
timeline events 


下 面 来 简单 介绍 一 下 以 上 的 输出 内 容 : 


“ -u 参 数 接 MySQL 账 户 名 。 
“ -p 参 数 接 账户 密码 。 
D (大 写 ) 参数 接 库 名 。 


“ -e 参 数 接 查询 的 SQL 语句 。 


输出 的 表 内 容 为 Rack 填 充 后 结果 ， 可 以 根据 表 的 名 字 了 解 其 大 概 的 内 容 ， 这 里 不 详细 介绍 。 


4. 运 行 Dashboard 


一 切 配置 好 后 ， 我 们 来 运行 Dashboad。Dashboard 是 一 个 Ruby on Rails 的 程序 ， 所 以 它 有 多 种 运行 方式 ， 如 通过 内 置 的 Webrick 或 者 Passenger 来 运行 ， 两 者 的 不 同 之 处 在 于 


， 需 要 通过 RAILS_ENV=production 设 置 Rails 的 工作 环境 变量 。 每 次 运行 时 都 需要 制定 该 环境 变量 ， 同 时 也 可 以 通过 此 环境 变量 来 切换 不 同 的 工作 环境 ， 


FWebrick 配 置 简单 可 以 


直接 适用 ， 但 缺点 是 当 很 多 Agent 向 Dashboard 进 行 同时 汇报 时 ， 它 的 性 能 会 比较 差 ; 而 Passenger 的 优势 是 更 适合 这 种 多 Agent 汇 报 的 场景 ， 具 有 良好 的 性 能 ， 但 缺点 是 配置 比较 复杂 。 不 过 为 了 检验 我 
们 刚刚 的 配置 是 否 成 功 ， 还 是 优先 使 用 默认 的 Webrick 的 方式 来 运行 Dashboard。Passenger 的 运行 方式 将 会 在 下 一 节 介 绍 。 


通过 Webrick 运 行 的 方式 非常 的 简单 ， 


可 以 通过 Dashboard 的 server 命 令 来 进行 启动 。 


# /usr/share/puppet-dashboard/script/server -e Production -d 


如 以 上 的 命令 所 示 ， 其 中 -e 表 示 启 动 的 环境 。 除 此 参数 外 ，server 命 令 还 包含 了 其 他 常用 的 参数 ， 如 表 13-2 所 示 。 


参 数 


成 功 启动 后 ， 以 笔者 的 测试 环境 为 例 ， 


表 13-2 setvet 参 数列 表 
含 义 
绑 定 端口 ，Dashboard 启动 后 默认 会 在 IP 0.0.0.0 上 监听 3000 端口 
绑 定 网 卡 接口 
以 守护 进程 方式 启动 


包括 production ( 线 上 环境 )、developemnt (开发 环境 ) 和 test (测试 环境 ) 


Rails 程序 的 挂 载 目 录 
查 和 下 者 帮 助 手册 册 


结果 如 


图 13-1 所 示 。 在 浏览 器 中 输入 http://IP:3000 来 访问 Puppet 的 Dashboard[1]。 


及 puppet dashboard 。 1223 。 Home 。 Nodes 。 Groups 。 Classes 。 Reports 。 


Background Tasks Daily run status 


© Al systems go Number and status of runs during the last 30 days 
— No runs found to report 一 


Nodes 
5 Unresponsive 
0 Failed Al 
0 Pending Exportnodes as CSV 
0 Changed Noge 
0 Unchanged 
3 Unreporie 


8 Al 


Radiator View 


叫 
Q 
本 
总 


db example com 

bj-web-nginx-1.example.com 

bj-puppet-master-1.example.com 

bj-puppet-master-1.localdomain 

bogon localdomain 
b.exmaple.com 


dDC exadtnple. com 


@ 
hbA 
hbA 
bd 
曲 
全 
全 
全 


web_exmaple com 
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图 13-1 Dashboard 用 户 界 面 


File Search 。 


1 Latest report 
2014-05-17 23:39 CST 
2014-05-17 14:47 CST 
2014-05-16 22-20 CST 
2014-05-10 22:29 CST 
2014-05-10 11:03 CST 
Has not reported 

Has notl repovoiledu 


Has not reported 


[1 如 果 页 面 显示 不 正常 ， 请 确认 一 下 浏览 器 的 型 号 与 发 行 版 本 ， 目 前 Dashboard 支 持 的 浏览 器 包括 Chrome、Firefox 3.5 或 更 高 版 本 、Saferi 4 或 更 高 版 本 和 IE 8 或 更 高 版 本 。 


13.3 ”Dashboard 应 用 场景 


到 目前 为 止 我 们 已 经 基本 配置 好 Dashboard 的 使 用 环境 了 。 下 面 我 们 要 做 的 是 : 


“ 导入 Agent 的 报告 。 

. 实时 汇总 Agent 的 报告。 

“ 使 用 Dashboard 作 为 节点 分 类 器 。 

“ Dashboard 日 志 、 数 据 备份 与 性 能 提升 。 


" Dashboard 的 安全 管理 。 


1. 导 入 Agent 的 报告 


我 们 在 第 12 章 曾 介绍 过 报告 ，Agent 将 报告 以 文件 形式 上 报到 Master 的 指定 目录 中 ，Dashboard 可 以 将 这 些 报告 数据 导入 MySQL 中 并 通过 Dashboard 程 序 进行 沉淀 与 展示 。 报 告 导 入 的 方式 非常 简 


单 ， 切 换 到 Dashboard 的 根 目 录 (/usr/share/puppet-dashboard) ， 然 后 通过 reports:import 命 令 来 导入 Agent 的 报告 。 具 体 如 下 : 


# sudo rake RAILS ENV=production reports:import 


默认 情况 下 命令 会 在 /var/puppet/lib/reports 目 录 中 查询 并 导入 已 经 生成 的 报告 文件 。 如 果 Puppet 的 reports 目 录 不 在 此 位 置 ， 建 议 通过 软 链接 的 方式 将 Puppet 的 reports 目 录 指 


向 /var/puppet/lib/reports 目 录 ,或 者 通过 以 下 命令 来 更 改 导 入 的 目录 位 置 。 


# reports_path 为 Puppet 的 reports 目 录 位 置 
# reports_path 为 报告 路 径 
# sudo rake RAILS ENV=production reports:import REPORT DIR=reports path 


通常 需要 将 reports:import 命 令 放 在 CRONTAB (定时 任务 ) 中 执行 。reports:import 命 令 可 以 多 次 使 用 ， 如 果 已 经 通过 repots:import 导 入 过 数据 ， 再 次 导入 数据 会 以 增 量 方式 追加 到 Dashboard 的 数 


据 库 中 。 导 入 包 数 据 后 需要 运行 delayed job 命令 来 刷新 Dashboard 的 数据 。 


# sudo rake RAILS ENV=production script/delayed job -p dashboard -n 8 -m start 


官方 网 站 更 推荐 使 用 以 下 方式 。 


# sudo rake RAILS ENV=production jobs:work & 


将 报告 导入 Dashboard 后 ， 我 们 可 以 通过 浏览 器 访问 Dashboard 的 IP 看 到 结果 ， 如 13-2 所 示 。 


AMPuppet dashboard 。 1223。 Home 。 Nodes 。 Groups 。 Classes 。 Reports 。 File Search 。 


Background Tasks ww Node: bj-web-nginx-1.example.com 


3 All systems go 
Parameters 


一 No parameters 一 
Nodes 


5 Unresponsive Groups 
Group Source 


0 Tailed 
0 Pending 
0 Changed Daily run status 


DO Unchanged Number and status of fruns during the last 30 days 


web bj-web-nginx-1.example com 


— No runs found to report 一 


8 All Run Time 
& elapsedtime in seconds for each of the last 30 Puppet runs 
Radiator View 


Group 


web 
Add group 


Class 


o_o or OW OW ow 
AS AR A® _ AD A At ”AT 
ry- ATY- A AT- 


\ 
NAL- A NE” AZ- 


nginx 


Add class Recent reports (107) 


图 13-2 ”Dashboard 的 报告 展示 


在 图 13-2 所 示 Puppet Dashboard 报 告 的 左 侧 可 以 看 到 Puppet 报 告 的 计数 器 。 计 数 器 中 包含 了 7 种 上 报 状态 ， 它 们 分 别 的 作用 如 下 。 


1) Unresponsive: 无 响应 ， 由 于 Agent 自 身 的 原因 ， 没 有 向 Puppet 汇 报 本 身 的 状态 。Master 如 果 遇 见 此 状态 ， 默 认 1 小 时 内 不 会 再 处 理 Agent 的 上 报请 求 ， 我 们 也 可 以 修改 settings.yml 中 的 
no _longer_reporting_cutoff 来 更 改 默认 时 间 。 


2) Pending: 报告 等 待 处 理 状态 。 报 告 已 经 到 达 Master， 但 处 理 进程 delayed job 已 经 在 运行 中 。 


Wu 


Failed: Agent 最 后 运行 失败 的 状态 。 
4) Changed: Agent 最 后 运行 状态 成 功 ， 并 通过 catalog 变 更 了 服务 器 上 的 状态 。 


Unchanged: Agent 最 近 一 次 上 报 成 功 ， 但 是 Catalog 中 并 没有 任何 变更 信息 。 


w 


6) Unreported: Agent 没 有 上 报 报告 。 


All: 所 有 类 别 上 报 报告 的 计数 器 。 


wd 


2. 实 时 汇总 Agent 报 告 


Dashboard 支 持 实时 将 Agent 上 报 的 报告 进行 汇总 展示 。 需 要 注意 的 是 ， 在 Puppet 2.6.* 版 本 中 需要 开启 报告 上 报 的 开关 report=true， 开 启 开 关 修 改 /etc/puppet/puppet.conf 文 件 ， 追 加 以 下 内 容 到 
配置 文件 中 。 


[agent] 
Xeport = trus 


Puppet 2.7.* 或 Puppet 3 版 本 下 此 功能 是 自动 开启 的 。 实 时 汇总 Agent 报 告 ， 其 实 是 将 Agent 的 报告 通过 HTTP 协 议 实 时 上 传 到 Dashboard 服 务 器 的 指定 目录 ， 再 通过 Dashboard 进 行 汇总 与 展示 。 开 
启 实时 汇总 Agent 报 告 功 能 ， 编 辑 Master 的 /etc/puppet/puppet.conf 配 置 文 件 ， 追 加 以 下 内 容 到 配置 文件 中 。 


[master] 
reports = store,http 
reporturl = http://dashboard.example.com:3000/reports/upload 


如 以 上 配置 文件 所 示 ， 在 第 11 章 我 们 曾 介绍 reports 参 数 为 开启 上 报 的 参数 ， 其 中 store 表 示 将 报告 存放 在 本 地 磁盘 ; http 表 示 将 报告 以 HTTP 协 议 发 送 到 指定 端口 ， 默 认 会 发 送 到 本 机 的 3000 端 
(Dashboard 默 认 的 端口 ) 。reporturl 不 是 必需 的 参数 ， 如 果 要 更 改 汇总 报告 的 地 址 或 端口 可 以 通过 此 参数 进行 修改 。 更 改 puppet.conf 配 置 文件 后 重启 Master 的 守护 进程 ， 配 置 才 会 生效 。 


3. 外 部 节点 分 类 器 


Puppet 除 了 对 一 些 报告 进行 展示 外 ， 还 可 以 与 ENC 结 合 来 实现 Web 化 管理 Agent。 我 们 曾 在 第 10 章 介绍 过 ENC，ENC 比 较 灵活 ， 可 以 适用 于 海量 服务 器 的 管理 ， 而 Dashboard 正 是 利用 了 ENC 比 较 灵 


[master] 
node terminus = exec # 以 exec (ENC) 方式 编译 catalog 
external nodes = /usr/bin/env PUPPET DASHBOARD URI=http://localhost:3000 /opt/puppet-dashboard/bin/external node # 指定 ENC 脚 本 位 置 


在 Dashboard 中 提供 了 3 种 类 型 的 配置 ， 分 别 是 节点 配置 、 类 配置 和 组 配置 。 


(1) 节点 配置 


节点 配置 就 是 Puppet 的 节点 通过 Web GUI 管理 ， 如 图 13-3 所 示 。 我 们 可 以 通过 Web 界 面 手 动 添加 节点 、 节 点 的 描述 与 对 应 的 Class (类 ) 文件 ，Agent 访 问 Master 时 会 根据 设置 的 节点 ， 加 载 


Class (类 ) 文件 。 


Add node 


Node 


wes exmaple com 二 


Description 
门 站 


Paramotorc 


Add parameter 


Classes 


nginx XX 


Grouns eo 


or Cance 


(2) 类 的 配置 


13-3 Puppet 节 点 的 配置 


通过 单 击 add class 添 加 类 的 配置 ， 如 图 


13-4 所 示 。 目 前 Dashboard 只 支持 添加 类 字 而 不 能 添加 类 的 内 容 ， 类 的 内 容 仍然 需要 通过 手动 在 Master 上 编写 清单 文件 来 完成 。 


从 puppet dashboard 。 1223 。 Home 。 Nodes 。 Groups 。 Classes 。 Reports 。 File Search 。 Enable 


Background Tasks Add node class 


四 All systems go Name 


Nodes 
7 Unresponsive 
0 Failed 
0 Pending 
0 Changed 
0 Unchanged 


or Canee 


2 Unreported 
9 All 


Radiator View 


Group 


Add group 


Class i 


pp 


nginx 


Adad class 
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图 13-4 ”类 的 配置 
(3) 组 的 配置 


组 的 配置 是 一 种 Dashboard 对 节点 的 分 类 方式 ， 并 没有 在 清单 中 体现 ， 如 图 13-5 所 示 。 创 建 一 个 组 后 ,我 们 可 以 在 组 内 添加 参数 和 类 ， 这 些 都 会 堆 加 应 用 到 组 的 所 有 节点 上 。 


Add parameter 
Classes 


Groups 


13-5 组 的 配置 


4.Dashboard 日 志 、 数 据 备份 与 性 能 提升 


本 节 通 过 Dashboarqd 日 志 、 数 据 备份 与 性 能 提升 来 介绍 Rake 的 常用 命令 ， 如 表 13-3 所 示 。 其 实 Rake 命 令 非 常 强 大 ， 除 了 这 些 常 


关于 rake 命 令 的 更 多 参数 可 以 参考 http://www.rubycc.com/column/rails3.2.3/rake.htm。 


pe 人 

hp ~ 
log:clear 
db:raw:optimize 


db:raw:dump 


db:raw:restore 


首先 Dashboard 和 其 他 的 Rails 程 序 一 样 ， 会 将 整个 的 运行 过 程 的 信息 记录 在 /usr/share/puppet-dashboard/logs 


Dashboard 出 现 问题 时 ， 这 些 日 志 就 变 成 了 很 有 价值 的 信息 ， 可 以 通过 诊断 日 志 排查 Dashboard 的 故障 信息 。 这 些 


七， 


录 中 ， 并 将 日 志 分 别 存放 在 production、developemnt 和 test 文 件 中 。 当 


随 着 访问 量 不 断 地 增长 ， 我 们 需 


磁盘 充满 ， 影 响 其 他 服务 的 正常 运行 。 这 里 Rake 本 身 就 提供 了 清理 命令 ， 具 体 如 下 : 


# cd /usr/share/puppet-dashboard; rake log:clear 


不 管 我 们 通过 哪 种 方式 来 清理 日 志 ， 最 好 将 它 写 入 系统 的 CRONTAB (定时 任务 ) 中 ， 来 定时 清理 残留 日 志 。 


总 


Dashboard 和 很 多 数据 库 系 统一 样 ， 需 要 通过 对 MySQL 的 优化 来 提升 它 的 性 能 ， 除 此 之 外 它 还 提供 了 对 数据 库 的 备份 与 恢复 功能 。 


1) 优化 数据 库 。Rake 本 身 自 带 了 对 MySQL 优 化 的 命令 db:raw:optimize。 


# rake RAILS ENV = production db:raw:optimize 


2) 对 数据 库 进行 备份 ， 命 令 为 db:raw:dump。 


# rake RAILS ENV=production db:raw:dump ”数据 库 备份 


定时 对 此 


参数 外 ， 它 还 有 大 约 160 个 参数 ， 可 以 通过 rake-T 参 数 来 查看 它们 。 


十 


录 中 的 文件 进行 清理 ， 以 避免 


mysqldump --add-locks --create-options --disable-keys --extended-insert --quick --set-charset --user=dashboard --password=dashboard dashboard > Production.sql.tmp 


3) 对 数据 库 进行 恢复 ， 命 令 为 db:raw:restore。 


# rake RAILS ENV=production FILE=production.sql db:raw:restore 


5.Dashboard 的 安全 管理 


默认 Dashboard 不 提供 认证 与 权限 管理 功能 ， 所 以 Dashboard 的 安全 一 直 是 人 们 关注 的 问题 。 在 使 用 Dashboard 时 ， 笔 者 有 以 下 建议 : 


1) 在 内 网 环境 下 使 用 Dashboard。 


2) 将 Dashboard 运 行 在 SSL 下 ， 防 止 内 网 监听 数据 。 
3) 开启 防火 墙 限制 (iptables) ， 限 制 来 源 IP 访 问 。 


4) 通过 HTTP Basic Authentication 进行 账户 认证 。 以 下 为 Apache 的 认证 的 配置 (作为 参考 ) 。 


<Location "/"> 
Order allow deny 
Allow from 192.168.240.110 ”# IP 限 制 ,只 准许 Puppet Master 访 问 
Satisfy any 
RuthName "Puppet Dashboard" # 认证 账户 名 
AuthType Basic 
AuthUserFile /etc/apache2/htpasswd # 指定 账户 的 密码 文件 
Require valid-user 

</Location> 


13.4 Dashboard 与 Nginx 提 升 性 能 


本 节 主 要 介绍 如 何 通过 Dashboard 与 Nginx+ Passenger 结 合 提升 Web 的 处 理性 能 。 由 于 Puppet 自 带 的 Webrick 性 能 不 是 很 强 ， 在 管理 的 服务 器 比较 多 而 服务 器 同时 上 报时 就 会 触发 Webrick 的 处 理 瓶 
颈 ， 影 响 正常 的 请 求 ， 所 以 我 们 要 替换 Webrick， 提 升 服务 器 的 处 理性 能 。 如 果 将 Dashboard 应 用 在 生产 环境 ， 推 荐 通过 Nginx+ Pssenger 的 方式 替换 Webrick 来 运行 Dashboard。 


Nginx+Pssenger 曾 在 第 11 章 介绍 过 ， 这 里 不 重复 介绍 安装 过 程 ， 读 者 可 以 参考 第 11 章 有 关 Passenger 的 内 容 。 这 里 我 们 只 关注 nginx.conf 配 置 文件 的 内 容 ， 将 以 下 配置 追加 到 nginx.conf 配 置 文件 的 


尾部 。 


server { 
listen 3000; 
server name dashboard.example.com; 
passenger enabled on; 


passenger set cgi param HTTP X CLIENT DN $ssl client s dn; 
passenger set cgi param HTTP X CLIENT VERIFY §ssl client verify; 


root /usr/share/puppet-dashboard/public; 


如 以 上 配置 所 示 ，listen 3000 为 Dashboard 的 默认 监听 端口 ; server_name 参 数 指定 Dashboard 的 域名 地 址 ; passenger_enabled 开 启 passenger 功 能 ; passenger_set_cgi_param 参 数 设 置 HTTP 头 
信息 ，HTTP 头 信息 主要 为 Agent 证 书 访问 提供 认证 的 功能 ; root 参 数 指定 Dashboard 的 发 布 目录 。 修 改 Nginx 的 配置 文件 后 ， 不 要 忘记 通过 server nginx reload 重 新 加 载 Nginx 的 配置 文件 ， 然 后 在 浏览 器 


中 输入 http://dashboard.example.com:3000， 如 图 13-6 所 示 。 


所 GG 门 dashboard. cxample. com:3000 


从 puppet dashboard 。 1223 。 Home 。 Nodes 。 Groups 。 Classes 。 Reports 。 File Search 。 


Background Tasks 


加 Al systems go 


Nodes 
0 Unresponsive 
0 Failed 
0 Pending 
0 Changed 
0 Unchanged 


0 All 


Group 


Class 
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There are no nodes known by Dashboard 


Daily run status 


— No runs found to report 一 


All 


— No nodes found— 


Radiator View 


图 13-6 ”Dashboard 与 Nginx+Passenger 
时 BE 


PuppetDB 是 Puppet 的 下 一 代 开源 数据 存储 仓库 ， 遵 循 Apache 2.0 协 议 ，PuppetDB 可 以 收集 Puppet 所 产生 的 数据 ， 包 括 Facts (Facter 信 息 ) 、Resources (资源 信息 ) 、Nodes (节点 信息 ) 、 
Catalogs (编译 日 志 ) 、Reports (系统 报告 ) 、Events (事件 ) 、Event counts (事件 数 ) 和 Aggregate event counts (事件 汇总 ) 等 ， 并 提供 相应 的 API 对 存储 的 数据 进行 遍历 与 检索 。 如 笔者 想 查找 
所 有 系统 中 是 Ubuntu 发 行 版 本 的 系统 服务 器 IP， 通 过 PuppetDB API 就 可 以 很 容易 检索 到 。 在 海量 的 服务 器 管理 中 ， 此 功能 比较 实用 。 除 此 之 外 ，PuppetDB 还 有 很 多 优势 ， 如 ， 它 可 以 作为 storeconfigs 
的 后 端 存储 。 另 外 在 编译 方面 ，PuppetDB 可 以 加 快 数据 的 编译 速度 ， 笔 者 从 Puppet 官 方 博客 了 解 到 ，PuppetDB 利 用 PostgreSQl 数 据 库 编译 650 个 资源 只 用 5.6 秒 。 截 止 到 本 书 出 版 前 开源 社区 版 的 


PuppetDB 从 0.10.0 到 2.0.0 已 经 历经 了 20 多 个 大 小 版 本 ， 


其 中 稳定 版 本 为 PuppetDB 1.5、PuppetDB 1.6 和 PuppetDB 2.0。 关 于 PuppetDB 版 本 之 间 的 差异 请 参考 官方 网 


站 http://docs.puppetlabs.com/puppetdb/2.0/release_notes.html。 本 章 以 PuppetDB 2.0 版 本 为 例 ， 首 先 介绍 PuppetDB 环 境 的 安装 ; 接着 介绍 PuppetDB 的 配置 ; 然后 介绍 PuppetDB API; 最 后 是 有 


关 PuppetDB 的 问答 。 


14.1 PuppetDB 环 境 安装 


本 节 通 过 CentOS 6.5 x86-64 位 系统 来 安装 开源 社区 的 PuppetDB 2.0 版 本 。 与 很 多 软件 安装 方式 一 样 ， 安 装 前 需要 注意 以 下 事项 : 


1) Puppet 企 业 版 本 安装 时 默认 自 带 PuppetDB， 所 以 无 须 再 次 安装 ， 而 Puppet 开 源 社区 版 本 需要 自行 安装 PuppetDB。 


2) PuppetDB 本 身 并 不 能 存储 数据 ， 它 利用 自 带 的 HSQLDB 或 PostgreSQL 数 据 库 对 : 


数据 进行 存储 。HSQLDB 是 PuppetDB 默 认 的 数据 库 ， 所 以 不 用 单独 安装 。 如 果 要 使 用 PostgreSQL 数 据 库 ， 需 要 


预先 安装 它 的 环境 (PuppetDB 不 支持 MySQL 数 据 库 ， 


因 


为 MySQL 缺 乏 对 递归 查询 的 支持 ) 。 


3) PuppetDB 的 不 同 版 本 对 Facter 与 Puppet 版 本 的 要 求 也 不 一 致 ，PuppetDB 2.0 版 本 需要 安装 Facter1.7.0 或 者 更 高 版 本 。 对 于 Puppet 版 本 ， 早 期 的 PuppetDB 0.9 到 PuppetDB 1.6 只 支持 Puppet 


2.7.12 或 者 更 高 版 本 ， 而 PuppetDB 2.0 需 要 安装 Puppet 3.5.1 或 者 更 高 的 版 本 ， 所 以 在 安装 Puppet 环 境 时 需要 注意 版 本 的 要 求 。 


PuppetDB 目 前 只 支持 UNIX/Linux 系 列 操作 系统 ，UNIX/Linux 系 列 操作 系统 发 行 版 本 如 下 : 


RedHat 企业 版 Linux 5 或 者 6， 也 包括 CentOS 5 或 者 6。 
* Debian。 
* Ubuntu 12.10、12.04LTS、10.04LTS。 


Fedora 18、19 和 20。 


14.1.1 ”PuppetDB 辅 助 环境 安装 


PuppetDB 需 要 JDK (Java Development Kit) 的 支持 ，JDK 是 Java 语 言 的 软件 开发 工具 包 ，PuppetDB 2.0 需 要 安装 JDK1.70 或 以 上 版 本 ， 我 们 通过 JAVA 包 来 安装 JDK 的 环境 。 


# yum install java 


目前 PuppetDB 后 端 可 以 使 用 两 种 数据 库 ， 一 种 是 默认 的 HSQLDB 数 据 库 ， 另 外 一 种 是 PostgreSQL 数 据 库 。 


HSQLDB 是 PuppetDB 自 带 默认 的 数据 库 ， 它 是 纯 Java 开 发 的 数据 库 ， 可 以 通过 JDBC Driver 来 存 取 数据 ， 支 持 ANSI-92 标 准 的 SQL 语法 ， 而 它 所 占用 的 空间 很 小 ， 大 约 只 有 160KB， 并 且 拥有 快速 的 数 
据 库 引擎 功能 。 另 外 HSQLDB 数 据 库 也 为 我 们 提供 了 一 些 辅助 工具 ， 如 WEB-SEVER、 缓 冲 查 询 及 一 些 管理 工具 等 。HSQLDB 数 据 库 属于 BSD 的 license， 可 以 自由 下 载 使 用 ， 并 且 可 以 安装 使 用 在 商业 产品 


上 


PostgreSQL 数 据 库 是 加 州 大 学 伯克利 分 校 计算 机 系 开发 的 基础 的 对 象 关系 型 数据 库 管理 系统 (ORDBMS) 。PostgreSQL 数 据 库 支 持 大 部 分 SQL 标 准 ， 并 且 提 供 了 许多 其 他 现代 特性 : 复杂 查询 、 外 
键 、 触 发 器 、 视 图 、 事 务 完整 性 和 MVCC 等 。 同 样 ，PostgreSQL 数 据 库 可 以 用 许多 方法 扩展 ， 如 增加 新 的 数据 类 型 、 函 数 、 操 作 符 、 聚 集 函 数 、 索 引 免 费 使 用 、 修 改 和 分 发 等 。 


对 于 两 种 数据 库 Puppet 官 方 网 站 更 推荐 使 用 PostgreSQL 数 据 库 ， 所 以 本 节 对 PostgreSQL 9.4 数 据 库 版 本 进行 安装 演示 ， 以 下 为 PostgreSQL 数 据 库 安装 方式 。 


1) 默认 情况 下 系统 源 并 不 包括 PostgreSQL 数 据 库 ， 需 要 手动 安装 源 。 以 下 为 PostgreSQL 9.4 数 据 库 源 安装 的 方法 。 


# yum install http://yum.postgresql .org/9.4/redhat/rhel-6-x86_64/pgdg-centos94-9.4-1.noarch.rpm 


2) PostgreSQL 数 据 库 的 安装 方法 如 下 : 


# 数据 库 的 安装 
# yum install postgresql* 


14.1.2 ”PuppetDB 环 境 安装 与 升级 


1.PuppetDB 安 装 


PuppetDB 安 装 的 成 本 相对 来 说 比较 低 ， 官 方 网 站 提供 了 多 种 的 安装 方式 。 下 面 来 介绍 常见 的 两 种 PuppetDB 2.0 安 装 方 式 。 


方式 1 首先 来 看 通过 yum 源 安装 PuppetDB， 这 是 最 简单 的 方式 。 可 以 根据 操作 系统 发 行 版 本 来 选择 不 同 的 源 ，Puppet 官 方 源 地 址 为 http://yum.puppetlabs.com。 安 装 过 程 如 下 。 


1) 安装 Puppet 官 方 源 。 


# yum install http://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm 


2) PuppetDB 环 境 安 装 (如 果 不 指定 PuppetDB 的 安装 版 本 ， 默 认为 最 后 一 个 版 本 ， 即 PuppetDB 2.0) 。 具 体 方法 如 下 : 


# yum install puppetdb puppetdb-terminus 


另外 Puppet 官 方 还 推荐 通过 Puppet 提 供 的 命令 来 安装 ， 通 过 Puppet 安 装 的 优势 是 可 以 不 区 分 操作 系统 的 发 行 版 本 。 具 体 如 下 : 


# puppet resource package puppetdb ensure=latest 
# puppet resource package puppetdb-terminus ensure=latest 


3) PuppetDB 在 启动 前 需要 配置 证 书 文件 ， 为 后 续 的 SSL 做 准备 ，SSL 的 优势 是 防止 数据 在 网 络 传输 过 程 中 被 截获 与 监听 ，SSL 的 作用 是 提高 数据 的 安全 性 。PuppetDB 可 以 与 Puppet 共 用 证 书 文件 ， 所 
以 如 果 在 已 经 安装 好 的 PuppetDB 服 务 器 上 同时 运行 着 Puppet 的 守护 进程 ， 可 以 通过 以 下 命令 让 PuppetDB 与 Puppet 共 同 使 用 一 张 证 书 文件 。 


# /usr/sbin/puppetdb ssl-setup 


以 上 命令 的 作用 是 查找 本 机 的 Puppet 证 书 文件 ， 并 将 证 书 文件 复制 到 PuppetDB 证 书 文件 所 在 的 /etc/puppetdb/ssl 目 录 中 。 如 果 PuppetDB 与 Puppet 不 在 同一 台 服 务 器 上 工作 ， 需 要 通过 以 下 方式 将 
Puppet 证 书 文件 远程 复制 到 PuppetDB 所 在 服务 器 的 SSL 目 录 。 


# scp $ (puppet master --configprint ssldir)/ca/ca crt.pem puppetdb.example.com:/etc/puppetdb/ssl/ca.pem 
# scp $ (puppet master --configprint ssldir)/private keys/puppetdb.example.com.pem puppetdb.example.com:/etc/puppetdb/ssl/private.pem 
# scp $ (puppet master --configprint ssldir)/certs/puppetdb.example.com.pem puppetdb.example.com:/etc/puppetdb/ssl/public.pem 


如 以 上 命令 所 示 ， 通 过 系统 scp 命 令 将 本 机 文件 复制 到 远程 服务 器 ， 其 中 通过 puppet master--configprint ssldir 命 令 来 打印 证 书 所 在 目录 位 置 路 径 ， 后 接 证 书 文件 地 
址 /ca/ca_crt.pem，puppetdb.example.com 为 远程 PuppetDB 的 域名 ，“: ”后 边 所 接 的 为 PuppetDB 服 务 器 同步 配置 文件 的 目标 路 径 。 同 步 证 书 文件 后 需要 授权 证 书 文 件 访问 权限 。 具 体 如 下 : 


# chown puppetdb:puppetdb /etc/puppetdb/ssl/*.pem 
# chmod 0600 /etc/puppetdb/ss1l/*.pem 


方式 2 ”通过 源码 方式 安装 PuppetDB。 相 对 于 方式 1 来 说 方式 2 要 更 加 的 复杂 ， 但 优势 是 更 加 的 通用 。 以 下 为 安装 过 程 : 


1) 安装 Leininge (Leiningen 是 一 个 Clojure 项 目 管理 工具 ， 可 以 让 开发 者 轻松 地 将 clojure 类 库 发 布 到 Clojars 上 ) 。 


体 方法 如 下 : 


# mkdir ~/bin && cd ~/bin 

curl 'https://raw.github.com/technomancy/leiningen/stable/bin/lein' -o lein 
chmod ugo+x lein 

./lein 

symlink lein to somewhere in your $PATH 

sudo ln -s /full/path/to/bin/lein /usr/local/bin 


非 井 井 间 非 


2) 通过 GIT 复 制 PuppetDB 源 码 到 本 地 ， 并 通过 命令 初始 化 PuppetDB 环 境 。 


# mkdir -~p ~/git && cd ~/git 

git clone git://github.com/puppetlabs/puppetdb 
cd puppetdb 

rake package:bootstrap 

sudo LEIN ROOT=true rake install 


井 非 井 井 


源码 安装 方式 会 将 PuppetDB 初 始 化 脚本 安装 到 /etc/init.d/ 目 录 中 ， 只 需要 创建 mkdir-p/etc/puppetdb 配 置 文件 目录 即 可 。 


3) 重复 方式 1 中 的 第 三 步 。 


2.PuppetDB 升 级 


对 PuppetDB 进 行 升 级 比较 简单 ， 如 果 读者 仍然 使 用 老 的 PuppetDB 版 本 ， 笔 者 建议 升级 到 PuppetDB 2.0 版 本 。 升 级 分 为 如 下 3 步 : 


1) 停止 PuppetDB 守 护 进程 。 


# puppet resource service puppetdb ensure=stopped 


2) 升级 PuppetDB 到 2.0 版 本 (ensure= 后 接 版 本 ，lastest 表 示 最 后 一 个 版 本 ， 目 前 PuppetDB 最 后 一 个 版 本 为 PuppetDB 2.0) 。 


# puppet resource package puppetdb ensure=latest 


3) 重新 启动 PuppetDB 守 护 进 程 。 


# puppet resource service puppetdb ensure=running 


14.2 PuppetDB 与 Puppet 结 合 配置 


如 图 


Agent 可 以 通过 Puppet 与 PuppetDB 的 结合 ， 将 Puppet 的 资源 、 编 译 信息 和 Facter 等 信息 导入 PostgreSQL 数 据 库 ， 同 时 也 可 以 通过 Puppet API 方 便 地 检索 到 这 些 导 入 PostgreSQl 数 据 库 中 的 信息 ， 


14-1 所 示 。 所 以 本 节 会 按照 图 14-1 所 示 的 流程 倒序 介绍 数据 库 、PuppetDB 和 Puppet 的 配置 。 


Puppet(8140) 


PuppetDB(8081) 


L 一 一 — 


图 14-1 Agent 导 入 与 导出 数据 流程 


14.2.1 数据 库 配置 


PostsreSQL(S432) 


Puppet 官 方 推荐 PostgreSQL 数 据 库 作为 PupptDB 后 端 存 储 ， 所 以 本 节 主 要 介绍 PostgreSQL 数 据 库 的 配置 。 由 于 PostgreSQL 数 据 库 的 守护 进程 监听 在 IP127.0.0.1 上 ， 而 PostgreSQL 配 置 文件 写 的 是 
localhost 的 域名 ， 所 以 我 们 需要 预先 指定 localhost 域 名 的 IP 为 127.0.0.1， 以 防止 出 现 连 接 PostgreSQL 数 据 库 失 败 的 情况 。 编 辑 /etc/hosts 文 件 并 追加 以 下 内 容 。 


# /etc/hosts 
127.0.0.1 localhost localhost.localdomain 


接着 修改 PostgreSQL 数 据 库 的 /var/lib/pgsql/9.4/data/pg_hba.conf 文 件 ， 追 加 以 下 访问 授权 信息 。 


# vim /var/lib/pgsql/9.4/data/pg_hba.conf 
# IPV6 local connections: 


host all all ::1/128 ident ”# 改 为 ident 
# "local™" is for Unix domain socket connections only 

local all all trust  # 改 为 trust 
# IPv4 local connections: 

host all all 127;0.0:1/32 trust 。 # 改 为 trust 


然后 启动 PostgreSQL 数 据 库 的 守护 进程 。 启 动 方式 如 下 : 


# /etc/init.d/postgresql-9.4 start 


启动 PostgreSQL 数 据 库 后 ， 建 议 通 过 nentstat-tnl 命 令 查 看 守护 进程 监听 端口 是 否 存 在 ， 如 果 存 在 则 说 明 已 经 启动 成 功 。 


# netstat -tnl | grep 5432 
tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 


@ 注 意 。 如 果 PostgreSQL 数 据 库 启 动 失败 ， 可 以 通过 /var/lib/pgsql/9.4/pgstartup.log 日 志 定 位 错误 的 原因 。 


接着 在 PostgreSQL 数 据 库 配置 好 的 基础 上 ,创建 PuppetDB 的 库 、 访 问 账户 与 密码 。 


# su -u postgres sh # PostgreSQL 不 支持 root 账 户 直 接 访 问 ,需要 转 为 postgres 账 户 
$ createuser -DRSP puppetdb # 创建 账户 与 密码 

$ createdb -E UTF8 -0 puppetdb puppetdb # 创建 账户 对 应 的 库 

$ exit 


通过 账户 与 密码 访问 PostgreSQL 数 据 库 ， 测 试 刚刚 创建 的 账号 与 密码 是 否 正 确 。 


# -h 访问 域名 ,-U (大 写 ) 访问 用 户 名 , -qd 访问 数据 库 名 , -W 访问 数据 库 密码 
# Psql -h localhost -U puppetdb -d puppetdb -W 


成 功 连接 PostgreSQL 数 据 库 后 ， 通 过 数据 库 的 psql 命 令 ， 输 入 ^\I” (此 命令 与 MySQL 的 show databases 命 令 功能 一 致 ) 查看 数据 库 结构 ， 如 图 14-2 所 示 。 确 认 PuppetDB 库 已 经 成 功 创建 。 


puppetdb=> “1 
List of databases 
Owmer | Encoding | Collation | 


posigres | postgres 
puppetdb | puppetdb en_U3, UTF- en_U3, UTF- 


template0 | postgres er_U3. UTF- en_US. UTF- 
templatel | postgres en_US, UTF-8 | en_US,UTF-8 
(d rows) 


图 14-2 ”PostgreSQL 数 据 库 的 库 结构 


14.2.2 PuppetDB 配 置 


=c/posteres 
postgres=CTc/postgres 
=crpostgres 
posteres=CTc/posteres 


本 节 首 先 介绍 PuppetDB 的 配置 文件 ， 并 非 PuppetDB 所 有 的 配置 文件 都 需要 修改 ， 读 者 只 需要 关注 每 个 配置 文件 的 用 途 ， 并 重点 关注 database.ini 和 jetty.ini 两 个 配置 文件 。 接 着 介绍 PuppetDB 启 动 过 


程 ， 最 后 介绍 PuppetDB 的 Dashboard。 关 于 PuppeDB 配 置 的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/puppetdb/2.0/。 


1.PuppetDB 配 置 


PuppetDB 的 配置 文件 主要 分 为 两 类 ， 第 一 类 是 初始 化 脚本 ， 它 包含 了 PuppetDB 相 关 配 置 的 环境 变量 与 启动 的 守护 进程 所 占 的 系统 资源 等 ， 如 果 我 们 的 机 器 配置 比较 高 ， 建 议 通过 初始 化 脚本 中 的 参数 


进行 调 优 ， 提 升 PuppetDB 的 性 能 ;反之 则 无 须 更 改 初 始 化 脚本 配置 。 第 二 类 是 配置 文件 类 ， 它 包含 了 PuppetDB 后 端 数据 库 的 配置 与 本 身 监 听 端 
介绍 这 两 类 文件 。 


(1) PuppetDB 初 始 化 脚本 类 
PuppetDB 安 装 后 不 同 的 系统 发 行 版 本 初始 化 脚本 放置 的 位 置 也 不 一 致 ， 如 表 14-1 所 示 。 


表 14-1 PuppetDB 初 始 化 脚本 在 不 同 发 行 版 本 中 的 位 置 


等 配置 。 两 类 文件 中 需要 重点 关注 后 者 配置 文件 ， 下 面 来 


操作 系统 发 行 版 本 文件 位 置 
RedHat 与 CentOS 发 行 版 本 | /etc/sysconfig/puppetdb 
Debian 和 Ubuntu /etc/default/puppetdb 
PE 企业 版 本 相关 /etc{sysconfig, default}/pe-puppetdb 


以 CentOS 系 统 为 例 ， 初 始 化 脚本 位 置 在 系统 的 /etc/sysconfig/puppetdb 目 录 下 。 初 始 化 脚本 中 包含 以 下 的 信息 。 


“ JAVA_BIN: Java 二 进 制 文件 位 置 。 


:JAVA_ARGS: Java 二 进 制 命令 选项 ， 通 过 -Xmx 配 置 Java 最 大 堆 的 大 小 。 如 果 系 统 内 存 比较 大 可 以 修改 -Xmx 参 数 增加 更 多 的 内 存 。 


JAVA_ARGS="-Xmx192m"  # 默认 为 192M 
JAVA_ARGS="-Xmx1g" # 修改 后 为 1G 


“ USER: PuppetDB 守 护 进程 运行 的 账户 。 
. INSTALL _DIR: PuppetDB 安 装 目 录 。 
“ CONFIG: 指定 PuppetDB 配 置 文件 的 路 径 (/etc/puppetdb/conf.d) 。 
(2) PuppetDB 的 配置 文件 类 
可 以 在 /etc/puppetdb/conf.d 中 找到 。PuppetDB 主 要 的 配置 文件 如 下 。 
“configini; 定义 图 oba] 全 局 配置 和 [command-processin 四 配置 命令 处 理 系 统 。 
“ database.ini; 定义 [database] 数 据 库 相 关 配 置信 息 ， 如 选择 数据 库 类 型 、 连 接 账 号 密码 等 。 
“jetty.ini; 定义 PuppetDB 的 监听 IP、 端 口 和 证 书 配置 文件 位 置 等 。 


' teblini: 定义 [repl 远 程 运 行 修改 配置 。 


需要 重点 关注 database.ini 和 jetty.ini 两 个 配置 文件 。 首 先 介 绍 database.ini 配 置 文件 ， 刚 刚 已 经 介绍 过 它 的 作用 是 用 来 指定 PuppetDB 连 接 的 数据 库 。 下 面 以 配置 PostgreSQL 数 据 库 为 例 ， 编 
辑 /etc/puppetdb/conf.d/database.ini 文 件 。 内 容 如 下 : 


[database] 

# 数据 库 驱 动 

Classname = org.postgresql .Driver 

# 系统 默认 为 hsqldb 数 据 库 , 通 过 subprotocol 修 改 默 认 数据 库 为 postgresql 
subprotocol = postgresql 

# 连接 数据 库 的 地 址 , PostgreSQI 格 式 为 //host:port/databaseName 
subname = //localhost:5432/puppetdb 

# 访问 数据 库 账户 名 

username = puppetdb 

# 访问 数据 库 密码 

password = puppetdb 

# 数据 库 压缩 频率 ,默认 60 分 钟 

gc-interval = 60 

# 慢 查 询 日 志 , 单 位 ( 秒 ) 


log-slow-statements = 10 


下 面 简单 分 析 一 下 上 面 的 参数 与 值 。 
:classsname 参 数 : 谋 入 式 数据 库 驱动 ， 可 选 org.postgresql.Driver 值 或 者 org.hsqldb.jdbcDriver 值 ， 上 默认 为 org.hsqldb.jdbcDriver 值 。 最 终 值 由 我 们 选择 的 数据 库 决定 。 
“subprotocol 参 数 : 嵌入 式 数 据 库 协 议 ， 即 选择 哪个 数据 库 作为 存储 。 可 选 hsqldb 值 或 者 postgresql 值 ， 黑 认为 hsqldb 值 。 
“ subname 参 数 : 连接 数据 库 方式 ，postgresql 配 置 格 式 //host:port/databaseName。hsqldb 配 置 格 式 为 file:/var/lib/puppetdb/db/db;hsqldb.tx=mvcc;sql.syntax_pgs=true。 
“ username 参 数 : 数据 库 的 账户 名 。 
* password 参 数 : 数据 库 的 密码 。 
.gr-interval 参 数 : 数据 压缩 频率 。 
“ log-show-statements 参 数 : 慢 日 志 查询 ， 可 以 通过 此 参数 对 不 合理 的 SQL 进行 优化 与 改进 。 


接着 来 看 jetty.ini 配 置 文件 ， 它 的 作用 是 配置 PuppetDB 守 护 进 程 的 相关 参数 。 编 辑 /etc/puppetdb/conf.d/jetty.ini 文 件 ， 内 容 如 下 : 


[jetty] 

# 设置 PuppetDB 连 接 主机 名 或 TP 

host = puppetdb .example.com 

# 设置 PuppetDB 监 听 端 口 

Port = 8080 

# 设置 PuppetDB 的 SSI 监 听 主 机 或 IP 

ssl-host = puppetdb.example.com 

# 设置 PuppetDB 的 SSIL 监 听 端 口 

ssl-port = 8081 

# 私 钥 路 径 , 建议 PuppetDB 私 钥 与 Puppet 的 私 钥 共 用 
ssl-key = /etc/puppetdb/ssl/private.pem 

# 公 角 路径, 建议 PuppetDB 公 钥 与 Puppet 的 公 钥 共用 
ssl-cert = /etc/puppetdb/ssl/public.pem 

# CA 证 书 路 径 , 建议 PuppetDBCA 证 书 与 Puppet 的 CA 证 书 共用 
ssl-ca-cert = /etc/puppetdb/ssl/ca.pem 


下 面 简单 分 析 一 下 上 面 的 参数 与 值 。 


:host 参数 : 设置 监听 连接 的 主机 名 或 者 IP。 
. port 参 数 : 设置 连接 的 端口。 
.ssl-host 参 数 : 设置 SSL 的 监听 主机 名 或 IP。 
ssl-key 参 数 ; 设置 私 钥 的 位 置 。 
.ssl-cert 参 数 : 设置 私 钥 的 位 置 。 


“ssl-ca-cert 参 数 : 设置 CA 根 证 书 位 置 。 


2.PuppetDB 启 动 


配置 好 database.ini 和 jetty.ini 两 个 文件 后 ， 就 可 以 启动 PuppetDB 守 护 进程 了 。 启 动 方式 如 下 : 


# /etc/init.d/puppetdb start 


PuppetDB 启 动 后 再 次 访问 PostgreSQL 数 据 库 ， 这 时 PuppetDB 会 自动 在 PostgreSQL 数 据 库 填充 所 用 到 的 表 ， 可 以 再 次 连接 PostgreSQL 数 据 库 ， 确 认 PuppetDB 成 功 配置 。 以 下 为 PostgreSQL 数 


连接 的 命令 : 


居 库 


# psql -h localhost -U puppetdb -d puppetdb -W 


连接 到 PostgreSQL 数 据 库 后， 输入 \dt (此 命令 与 MySQL 的 show tables 命 令 功能 一 致 ) 查看 数据 库 表 结构 ， 如 图 14-3 所 示 。 可 以 看 到 PuppetDB 已 经 填充 了 相关 的 表 。 


puppetdb=> “dt 


List of relations 


Schema | 


cataloeg resources puppetdb 


catalogs 


puppetdb 


certname facts puppetdb 
certname facts metadata puppetdb 


Certnames 
edges 


puppetdb 
puppetdb 


latest reports puppetdb 
reports 
resource events puppet db 
resource params puppetdb 
resource params_ cache puppetdb 
schema mierations puppetdb 


【13 rows) 


填充 表 后 ， 表 明 已 经 成 功 地 配置 了 PuppetDB。 


environments puppetdb 
| 
| 
| 
| 
| 


puppet db 


图 14-3 ” PostgreSQL 数据 库 的 表 结 构 


@ 注 意 如 果 PuppetDB 启 动 失败 ， 可 以 通过 查看 /vat/log/puppetdb/puppetdb.log 日 志 定位 错误 的 原因 。 


3.PuppetDB 的 Dashboard 
PuppetDB 还 提供 了 Web 的 展示 窗口 ， 也 就 是 PuppetDB 的 Dashboard， 它 直观 地 展示 了 PuppetDB 的 运行 状况 ， 包 括 积压 队列 、 命 令 处 理 进 程 、node 和 资源 信息 等 。 启 动 PuppetDB 后 ， 可 以 在 IE 中 


输入 http:Wpuppetdb.example.com:8080 来 访问 PuppetDB 的 Dashboard， 如 医 


14-4 所 示 。 输 入 的 puppetdb.example.com 为 PuppetDB 的 地 址 。 
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图 14-4 PuppetDB Dashboard 


另外 PUppetDB 的 Dashboard 配 置 也 比较 灵活 ， 可 以 通过 追加 参数 的 形式 修改 其 外 观 与 刷新 频率 。 要 修改 的 参数 如 下 : 

“ width: Dashboard 的 宽 。 

height: Dashboard 的 长 。 

“ pollingInterval: Dasoboard 刷 新 的 间隔 ， 单 位 为 毫秒 。 

“ nHistorical: 多 少 历史 数据 点 使 用 图 。 

通过 http:Wpuppetdb.example.com:8080/dashboardyindex.html?height=240&pollinglnterv-al=1000 调 整 它 的 参数 ， 如 将 刷新 率 调整 为 500 毫 秒 ， 修 改 参数 pollinglnterval=500 即 可 调整 


Dashboard 的 刷新 频率 。 


14.2.3 ”Puppet 配 置 


因为 我 们 使 用 了 PuppetDB 2.0 版 本 ， 所 以 在 配置 Puppet 前 ， 首 先 通过 puppet-V 命 令 确认 Puppet 的 版 本 是 否 为 3.5.1 或 者 以 上 版 本 ， 如 果 不 是 则 需要 通过 yum update puppet 进 行 升级 。 确 认 版 本 没 
有 问题 后 ， 继 续 配置 Puppet 与 PuppetDB。Puppet 与 PuppetDB 需 要 修改 两 个 配置 文件 ， 它 们 分 别 是 puppetdb.conf 和 puppet.conf。puppetdb.conf 配 置 文件 的 作用 是 让 Puppet 连 接 PuppetDB 的 配置 
文件 ， 而 puppet.conf 是 Puppet 的 主 配置 文件 。 最 后 还 要 创建 routes.yaml 文 件 ， 此 配置 文件 的 作用 是 改变 Puppet 的 默认 缓存 与 编译 的 方式 。 


1) 配置 puppetdb.conf， 默 认 此 文件 并 不 存在 ， 需 要 手动 创建 它 。 编 辑 /etc/puppet/puppetdb.conf 配 置 文件 ， 内 容 如 下 : 


[main] 
server = puppetdb.example.com 
port =8081 


下 面 简单 分 析 一 下 上 面 的 参数 与 值 。 
“server 参 数 : 指定 PuppetDB 的 域名 或 者 IP。 


“ port 参 数 : 指定 PuppetDB 的 SSL 监 听 端 口 。 


[ 


) 编辑 /etc/puppet/puppetdb.conf 配 置 文件 ， 追 加 内 容 如 下 : 


# 


将 Puppet 数 据 导入 PuppetDB 
storeconfigs = true 
storeconfigs backend = puppetdb 


# 将 报告 导入 PuppetDB 
report = true 
reports = puppetdb 


下 面 简单 分 析 一 下 上 面 的 参数 与 值 。 
: storeconfigs 参 数 : 开启 Puppet 资 源 的 导出 资源 功能 。 
“ storeconfigs_backend 参 数 : 指定 导出 后 的 数据 存储 的 介质 。 
“ report 参 数 : 开启 日 志 上 报 功能 。 
“ reports 参 数 : 指定 报告 存储 介质 。 


3) 在 Master 下 创建 routes.yam| 文 件 。 通 过 puppet master--configprint route file 命 令 找到 routes.yam| 文 件 位 置 ， 并 追加 以 下 内 容 到 routes.yam| 文 件 中 。 


apply: 
catalog: 
terminus: compiler 
cache: puppetdb 
resource: 
terminus: ral 
cache: puppetdb 
facts: 
terminus: facter 
cache: puppetdb apply 


4) 配置 文件 增加 或 变更 后 需要 重启 Puppet 的 守护 进程 ， 加 载 更 新 后 的 配置 文件 。 


中 | 


量 启 Puppet 守 护 进 程 的 命令 如 下 : 


# service puppetmaster restart 


5) 通过 Agent 来 访问 Master， 访 问 后 的 结果 会 直观 地 展示 在 PuppetDB 的 Dashboard 上 ， 如 图 14-5 所 示 。 


in the ponulation 


Resources 


in the population 


图 14-5 ”Puppet Dashboard 访 问 记录 


14.3 PuppetDB API 


PuppetDB API 使 用 了 命令 查询 责任 分 离 的 模式 (Command/Query Responsibility Separation，CQRS) ， 它 是 一 种 架构 体系 模式 ， 能 够 改变 模型 的 状态 的 命令 和 模型 状态 的 查询 ， 从 而 实现 分 离 。 
命令 通过 队列 实现 了 异步 执行 ， 所 有 接收 的 命令 会 在 一 个 消息 队列 中 ， 然 后 命令 处 理子 系统 会 采用 先进 先 出 (FIFO) 原则 来 读 取消 息 队列 中 的 这 些 命令 。 可 以 通过 PuppetDB 的 API 对 Puppet 的 数据 进行 检 
索 ， 借 助 表达 式 与 条 件 语句 进行 信息 的 筛选 与 过 滤 ， 并 对 筛选 与 过 滤 后 的 数据 重新 组 合 整理 使 用 。 本 节 将 分 两 个 部 分 来 介绍 PuppetDB APl， 分 别 为 PuppetDB API 检 索 结 构 与 PuppetDB API 检 索 语句 。 


14.3.1 PuppetDB APl 检 索 结构 


首先 来 看 一 人 PuppetDB 的 检索 语句 ，PuppetDB 的 检索 语句 的 结构 可 以 通过 HTTP 协 议 “GET 方 式 + 查询 语句 ”进行 查询 ， 结 果 以 JSON 格 式 返 回 。 目 前 PuppetDB 检 索 分 为 两 种 方式 ， 一 种 方式 为 普通 
的 SSL 检 索 。SSL 检 索 的 优势 是 比较 安全 ， 适 用 于 安全 性 比较 差 的 网 络 环境 ， 如 互联 网 ， 但 劣势 是 拼写 URL 比 较 烦琐 。SSL 检 索 通 常 适用 于 Puppet 向 PuppetDB 插 入 或 检索 数据 。 另 一 种 方式 是 直接 通过 HTTP 
协议 查询 ， 它 的 优势 是 拼写 URL 简 单方 便 ， 但 劣势 是 安全 性 比较 差 ， 更 适合 于 内 部 网 络 。 


1.SSL 检 索 


如 要 通过 SSL 方 式 检索 PuppetDB 中 的 resources 资 源 类 内 容 (SSL 检 索 使 用 8081 端 口 ) 。curl 就 需要 指定 PuppetDB 服 务 器 的 证 书 文件 ， 然 后 才能 检索 PuppetDB 中 信息 。 


curl -X GET https://puppetdb.example.com:8081/v3/resources --cacert 
/etc/puppet/ssl/certs/ca.pem --cert /etc/puppet/ssl/certs/thisnode.pem --key 
/etc/puppet/ssl/private keys/thisnode.pem --data-urlencode query@<filename> 


下 面 简单 分 析 一 下 上 面 的 参数 与 值 。 


“ cacert 参 数 : 指定 Puppet 的 CA 证 书 文件 。 


“ cert 参 数 : SSL 签 发 的 key。 


“key 参数 : 指定 Puppet 的 私 钥 。 


私 钥 文 件 一 般 默 认 存放 在 Puppet 的 SSL 证 书目 录 中 ， 如 果 不 确定 证 书 文件 的 位 置 ， 可 以 通过 sudo puppet config print ssldir 命 令 查 到 证 书 的 根 目录 。 


2.HTTP 检 索 


HTTP 检 索 使 用 8080 端 口 ， 如 下 : 


curl -X GET http://puppetdb.example.com:8080/v3/<ENDPOINT>?query=<QUERY STRING> 


下 面 简要 介绍 一 下 上 面 检索 语句 的 结构 。 


来 区 分 不 同 的 协议 ，8080 端 口 为 普通 的 HTTP 协 议 ，8081 端 口 为 SSL 协议 。PupppetDB 端 口 定义 在 


1) http://puppetdb.example.com 为 PuppetDB 的 域名 ，8080 为 服务 端口 。PuppetDB 通 过 端 
PuppetDB 服 务 器 的 /etc/puppetdb/conf.d/jetty.ini 文 件 上 。 
版 前 PuppetDB 共 有 4 个 版 本 ,分 别 是 v1、v2、v3 和 v4。PuppetDB 1.3 或 更 高 版 本 支持 V1、v2 和 v3 版 本 查询 APl， 而 v1 版 本 则 结合 PuppetDB 1.0.x， 向 下 兼容 。 


2) V3 为 API 的 版 本 号 ， 截 止 到 本 书 H 
其 中 v3 为 稳定 版 本 ，v4 为 实验 版 本 ，v2 为 即将 弃 用 版 本 ， 所 以 综合 各 版 本 情况 ， 推 荐 使 用 v3 版 本 。 


3) 检索 内 容 包 括 Facts (Facter 信 息 ) 、Resources (资源 信息 ) 、Nodes (节点 信息 ) 、catalogs (编译 日 志 ) 、Reports (系统 报告 ) 、Events (事件 ) 、Event counts (事件 数 ) 和 Aggregate 


event counts (事件 汇总 ) 等 。 
4) 检索 语句 支持 以 下 内 容 : 
“ 使 用 HTTP 协 议 ， 并 通过 Get 方 式 获取 数据 。 
. 使 用 url-encoded 作 编码 。 
' 支持 JSON 数 组 。 
“ 支持 正则 表达 式 。 


“ 支持 条 件 表达 式 。 


14.3.2 ”PuppetDB API 检 索 语句 


志 ) 、Reports ( 系 


Puppet 上 报 的 信息 比较 多 ， 包 括 Facts (Facter 信 息 ) 、Resources (资源 信息 ) 、Nodes (节点 信息 ) 、Catalogs (编译 
行 二 次 加 工 以 满足 自己 的 需求 。 目 前 PuppetDB API 支 持 两 种 信 


二 
结果 却 一 致 。 在 介绍 PuppetDB API 检 索 前 ， 
7 了 curl 


我 们 可 以 通过 PuppetDB API 检 索 Puppet 上 报 的 信息 ， 
统 报告 ) 、Events (事件 ) 和 Aggregate event counts (事件 汇总 ) 等 。 可 以 通过 PuppetDB API 进 行 信息 的 检索 ， 并 根据 检索 后 的 信息 进 
“URL+ 地 址 ”方式 ， 通 过 查询 地 址 变更 获取 查询 数据 ， 称 为 “路 由 ”方式 。 另 一 种 为 “URL+ 参 数 ” 方 式 ， 虽 然 检索 方式 不 同 ， 但 是 返回 
， 通 过 它 可 以 获取 远程 网 页 的 信息 。 如 果 找 不 到 curl 命 令 ， 可 以 通过 yum install curl* 来 安装 。 在 PuppetDB API 检 索 中 大 量 的 使 


息 检索 方式 ,一 种 为 
先 来 了 解 一 下 curl 命 令 ， 它 是 Linux 下 的 一 款 很 强大 的 http 命 令 


命令 进行 介绍 ， 其 常用 参数 如 表 14-2 所 示 。 


表 14-2” curl 常用 参数 


参 含义 
-G HTTP GET 方式 
-X/--request <command> | 指定 什么 命令 
--data-urlencode 指定 HTTP 协议 编 公 


有 时 让 


叫 
过 
司 


FPuppeDB API 的 更 多 信息 请 参考 


的 Facts (Facter 信 息 ) 、Resources (资源 信息 ) 、Nodes (节点 信息 ) 、Catalogs (编译 日 志 ) 和 Reports (系统 报告 ) 类 检索 方式 。 关 了 


本 节 将 会 介绍 常 
站 http://docs.puppetlabs.com/puppetdb/2.0/api/。 


1.Facts 类 


居 检 索 后 的 信息 再 次 封装 使 用 。PuppetDB API 检 索 Facts 数 据 ， 目 前 包括 4 


Facts 类 为 Facter 收 集 的 数据 ， 并 会 被 上 报到 PuppetDB 中 ， 可 以 通过 PuppetDB API| 检 索 到 Facter 上 报 的 这 些 信息 ， 并 可 以 根 
回信 息 ， 分 别 是 name (Facter 的 键 ) 、values (Facter 的 值 ) 、certname (节点 名 ) 和 enviroment (环境 ) 。 下 面 分 别 以 路 由 方式 与 URL 参 数 方式 来 介绍 检索 信息 的 方法 。 


项 返 


1) Facts 类 路 由 方式 检索 格式 。 


# 输出 全 部 Facter 值 
# 输出 Facter 值 中 的 Ke 


# curl -X GET http://puppetdb.example.com:8080/v3/facts 
# 输出 Facter 答 中 的 Value 


# curl -X GET http://puppetdb.example.com:8080/v3/facts/<NAME> 
# curl -X GET http://puppetdb.example.com:8080/v3/facts/<NAME>/<VALUE> 


下 面 看 一 个 路 由 方式 检索 案例 。 检 索 所 有 Puppet 上 报 的 IP 地 址 对 应 节点 的 信息 ， 具 体 如 下 。 


# curl -X GET http://puppetdb.example.com:8080/v3/facts/ipaddress 


# 以 下 为 符合 条 件 的 返回 结果 
中 


"certname" : "bj-web-nginx-1.example.com", 
"environment" : "production", # 环境 
"name" :; "ipaddress", # Facter 的 键 
"value" : "192.168.110.129"  # Facter 的 值 
ka 
"certname" : "localhost.localdomain", 节点 名 
"environment™" : "production", # 环境 
"name" "ipaddress", # Facter 的 键 
"value" : "192.168.110.130" # Facter 的 值 
}, 1 
"certname" : "web.example.com", # 节点 名 
"environment" : "production", # 环境 
"name" : "ipaddress"， # Facter 的 键 
"value" : "192.168.110.130" 。 # Facter 的 值 


| 


从 以 上 输出 结果 中 可 以 看 到 PuppetDB API 以 JSON 格 式 返 回 数据 ， 并 显示 PuppetDB 中 存储 的 所 有 Puppet 上 报 的 IP 地 址 的 相关 信息 。 


2) Facts 类 URL 参 数 方式 检索 。 命 令 如 下 : 


curl -X GET http://puppetdb.example.com:8080/v3/facts --data-urlencode 'query=["=", "参数 ", " 值 "]' 


参数 可 以 是 name (Facter 的 键 ) 、values (Facter 的 值 ) 、certname (节点 名 ) 和 enviroment (环境 ) 。 如 检索 name 的 key 为 operatingsystem， 检 索 所 有 系统 的 发 行 版 本 。 结 果 如 下 : 


# curl -X GET http://puppetdb.example.com:8080/v3/facts --data-urlencode 
# 以 下 为 符合 条 件 的 返回 结果 


‘query=[ 


[{"certname": "a.example.com", "name": "operatingsystem", "value": "Debian"}, 
{"certname": "b.example.com", "name": "operatingsystem", "value": "RedHat"}, 
{"certname": "c.example.com", "name": "operatingsystem", "value": "Darwin"}, 


2.Resource (资源 ) 类 


"name", "operatingsystem"]' 


Resource 为 资源 类 ， 通 过 Puppet API 可 以 检索 数据 库 中 已 经 存在 的 资源 信息 。 以 下 为 资源 检索 的 路 由 格式 : 


# curl -X GET http://puppetdb.example.com:8080/v3/resource 
# curl -X GET http://puppetdb.example.com:8080/v3/<TYPE> 


# curl -X GET http://puppetdb.example.com: 8080/v3/<TYPE>/<TITIE> # Es 与 标题 


案例 1 


检索 机 器 上 的 User 资 源 (资源 的 首 字母 须 大 写 ) 。 具 体 命令 及 过 程 如 下 : 


' 


# curl -X GET 'http://puppetdb.example.com:8080/v3/resources/User 
# 以 下 为 符合 条 件 的 返回 结果 


[{"parameters" : { 
voile s "i000; 
"shell" : "/bin/bash", 
"managehome" : false, 
Ta s “L000, 
"home" : "/home/foo, 
"groups" : "users, 
"ensure" ; "present" 
}, 
We 二 昌 7 
"file" : "/etc/puppet/manifests/site.pp", 
"exported" ; false, 
"tags" : [ "foo", "par" ], 
"foo", 
VUSEr" 
"certname" : "hostl.mydomain.com" 
}, {"parameters” : { 
“ied s “Lo0L, 
"shell" : "/bin/bash", 
"managehome" : false, 
sid $ LO0L; 
"home" : "/home/bar, 
"groups" : "users, 
"ensure™ + "present” 
}, 
"line" ; 20, 
"file" : "/etc/puppet/manifests/site.pp", 
"exported" : false, 
"tags" : [ "foo", "bar" ], 
"bitler s "bar™, 
"type" : "User", 
"certname" : "host2.mydomain.com"}] 
案例 2 


检索 User 资 源 为 foo 的 标题 。 具 体 命令 及 过 程 如 下 : 


curl -X GET 'http://puppetdb:8080/v3/resources/User/foo' 
# 以 下 为 符合 条 件 的 返回 结果 


[{"parameters" :; { 
vale ¥ "L000. 
"shell" : "/bin/bash", 
"managehome" : false, 
"gig" : “i000; 
"home" : "/home/foo, 
”groups"” ; "users, 
"ensure™” : "present™ 
}, 
"line” ; 10， 
"file" : "/etc/puppet/manifests/site.pp", 
"exported" : false, 
"tags" : [ "foo", "bar" ], 
"title" : “foo 
"type" : "User", 
"certname™" : "hostl.mydomain.com" 


条 


3.Node (节点 ) 类 


Node (节点 ) 类 可 以 检索 Node 下 的 fact 信 息 与 资源 信息 ， 并 可 以 根据 表达 式 对 其 进 


配 与 过 滤 。 首 先 来 看 一 下 Node 类 的 路 由 信息 ， 然 后 再 来 看 Node 类 的 返回 信息 内 容 ， 最 后 看 Node 类 的 案例 。 


以 下 为 Node 类 的 路 由 : 


# 检索 所 有 nodes 节 点 的 信息 


curl -X GET 'http://puppetdb.example.com:8080/v3/nodes' 

检索 指定 nodes 节 点 的 信息 

curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/<NODE>' 

检索 指定 nodes 节 点 中 的 facts 信 息 

curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/<NODE>/facts' 
检索 指定 nodes 节 点 中 facts 的 key 信 息 

curl -X GET 'http://puppetdb.example. 
检索 指定 nodes 节 点 中 faces 的 key 对 应 的 values 信 息 
curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/<NODE>/facts/<NAME>/<VALUE>' 

检索 指定 nodes 节 点 中 的 resources 资 源 类 信息 

curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/<NODE>/resources' 

检索 指定 nodes 节 点 下 resources 资 源 类 中 的 指定 资源 信息 

curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/<NODE>/resources/<TYPE>' 

愉 索 指定 nodes 节 点 下 resources 资 源 类 中 指定 资源 对 应 的 标题 信息 

curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/<NODE>/resources/<TYPE>/<TITLE>' 


8080/v3/nodes/<NODE>/facts/<NAME>' 


井 井 井 井 井 井 间 井 井 井 井 井 间 间 间 


案例 1 


检索 web.example.com 的 上 报信 息 。 具 体 命令 及 过 程 如 下 : 


# curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/web.example.com' 

# 以 下 为 符合 条 件 的 返回 结果 

{ 
"name" : "web.example.com", 
"deactivated" : null, 
"catalog timestamp" : "2014-06-14T15:18:51.8332", # catalog 环 境 的 环境 
"facts timestamp" : "2014-06-14T15:38:57.4042", # facts 最 后 的 编译 时 间 截 
"report timestamp" : null # 报告 上 报时 间 

} 

案例 2 


检索 web.example.com 的 SElinux 状 态 。 具 体 命令 及 过 程 如 下 : 


# curl -X GET 'http://puppetdb.example.com:8080/v3/nodes/web.example.com/facts/selinux' 
# 以 下 为 符合 条 件 的 返回 结果 
{ 


"certname" "web .example.com", 

"name" : "selinux", 

"value" : "false" # web.exmaple.com 的 selinux 状 态 为 关闭 
} 
案例 3 


更 值得 一 提 的 是 ， 可 以 通过 表达 式 对 node 节 点 数据 进行 检索 。 以 下 为 检索 的 条 件 语句 。 


[and"， 


[ : ["fact", "kernel"], "Linux"], 
[">", ["fact", “uptime days"], 30]] 


以 上 条 件 语句 的 含义 : 检索 是 Linux 系 统 的 、 同 时 开机 大 于 30 天 的 机 器 的 信息 。 笔 者 通过 一 个 简单 的 案例 来 检索 所 有 上 报 的 Agent 开 机 时 间 大 于 10 小 时 的 机 器 ， 具 体 命令 如 下 : 


1 


# curl -G 'http://puppetdb.example.com:8080/v3/nodes' --data-urlencode 
query=[">", ["fact", "uptime hours"],10]" 

# 以 下 为 符合 条 件 的 返回 结果 

[ 


"name" : "sh adlog access_ storrage.web.example.com" 
"deactivated" :; null, 
"catalog timestamp" : "2014-06-12T15:05:25.3492", 
"facts timestamp" : "2014-06-12T15:05:25.0642", 
"report timestamp" : "2014-06-12T15:05:23.0162" 

}, 
"name" : "bj adlog access_ storrage.web.example.com ", 
"deactivatedq”: null, 
"catalog timestamp" : "2014-06-14T15:18:51.8332", 
"facts timestamp" : "2014-06-14T15:38:57.4042", 
"report timestamp" : null 


1 


除了 上 面 我 们 看 到 的 表达 式 外 ，PuppetDB API 还 提供 了 很 多 其 他 表达 式 ， 如 表 14-3 所 示 。 


表 14-3 ”PuppetDB API 常 用 表达 式 


5 NTT | we 


4.Catalogs 类 


Catalogs 类 可 以 检索 Hostname 编 译 后 的 LOG。Catalogs 类 使 用 比较 简单 ， 其 路 由 格式 如 下 : 


# curl -X GET 'http://puppetdb.example.com:8080/v3/catalogs/<NODE>' # 其 中 node 为 节点 名 称 


案例 Catalogs 检 索 foo.localdomain 节 点 的 编译 日 志 。 上 有 具体 命令 如 下 : 


curl -X GET http://puppetdb:8080/v3/catalogs/foo.1localdomain 
# 以 下 为 符合 条 件 的 返回 结果 
{ 


"name" : "yo.delivery.puppetlabs.net", 

"version™" ; "e4c339f", 

"transaction-uuid" : "53b72442-3b73-11e3-94a8-1b34ef7fdc95"， 

"environment™" : "production", 

"edges" : [http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/...], 
"resources" : [http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/...], 


5.Reports (报告 ) 类 


Reports (报告 ) 类 可 以 检索 Agent 上 报到 Master 的 报告 内 容 。Reports (报告 ) 类 的 路 


格式 如 下 : 


# curl -X GET 'http://puppetdb.example.com:8080/v3/reports' # 检索 PuppetDB 中 已 经 上 报 的 报告 信息 


Reports 类 检索 参数 有 两 个 ， 


“certname: 节点 名 称 。 


.hash: 报告 ID。 


体 如 下 。 


案例 ”检索 example.local 节 点 的 报告 ， 具 体 命令 及 过 程 如 下 : 
# curl -G 'http://puppetdb.example.com:8080/v3/reports' --data-urlencode 'query=["=", "certname", "example.local"]' 


# 以 下 为 符合 条 件 的 返回 结果 


[ 
# 返回 一 
{ 


"end-time": "2012-10-29T18:38:01.0002Z", 


"puppet-version":; "3 
"receive-time": 


"start-~time": 


"certname": "example. 
"report-format": 4, 
"transaction-uuid": 


Fe 
# 返回 二 
是 
"end-time" : 
"puppet-version" : "3. 
"receive-time": 


"start~time": 
"hash": 
"certname": "example. 
"report-format": 4, 


"transaction-uuid": null 


14.4 PuppetDB 问 答 


在 对 PuppetDB 有 了 深入 了 解 后， 很 多 网 友 不 禁 会 对 PuppetDB 数 据 迁 移 方式 、treuststore 和 keystore 文 件 、 


# 上 报 最 后 时 间 


Sn # Puppet 的 版 本 号 


local", 


"2012-10-29T18:38:04.2382", 
"configuration-version": "1351535883", 
"2012-10-29T18:38:00.0002", 
"hash": "bd899blee825ecld2c671fe5541b5c8f4a783472", 
报告 节点 名 


# 报告 格式 版 本 


0.1", 


local", 


# 报告 


为 PuppetLabs 官 方 网 站 整理 的 


"030c1717-f175-4644-b048-ac9ea328f221" 


"2012-10-26T22:39:32.0002", 
# Puppet 的 版 本 号 
"2012-10-26T22:39;35.3052"; 
"configuration-version": "1351291174", 
"2012-10-26T22:39:31.0002", 
"cd4e5fd8846bac26d15d151664a40e0f2fa600b0", 


格式 版 本 
# 报告 连续 性 ID 


# 收 到 报告 的 时 间 
# 配置 版 本 和 
# 开始 上 报时 间 
# 报告 Hash 值 


# 上 报 最 后 时 间 
# 收 到 报告 的 时 间 
和 配置 版 本 


# 开始 上 报时 间 
# 报告 Hash 值 


告 节点 名 


户 对 PuppetDB 的 一 些 疑问 与 解答 。 


# 报告 连续 性 ID 


问题 1: 是 否 可 以 将 数据 从 ActiveRecord 的 storeconfigs 或 者 现 有 PuppetDB 迁 移 到 新 的 实例 ? 


答 : 可 以 。 在 现 阶段 ， 


2b 
只 能 


问题 2: 如 果 PuppetDB 对 truststore 或 keystore 文 件 有 异议 该 怎么 办 ? 


答 : 一 些 原因 会 导致 这 一 情况 的 出 现 ， 但 归根 结 底 是 
户 确 认 自 己 的 密 钥 和 证 书 。 


PuppetDB 用 来 向 


起 


详细 的 回答 : 如 果 puppetdb ssl-setup 命 令 


。 还 应 该 设置 密 钥 密 码 和 信任 密码 ， 确 保 keystore.jks 和 truststore.jks 文 件 保存 在 config 文 件 确 认 的 位 置 ， 而 且 确 保 它 们 可 以 被 PuppetDB 所 读 取 (puppetdbF 


版 安装 ) 。 除 此 之 外 ， 你 可 以 通过 使 


从 ActiveRecord 迁 移 输出 资源 ， 或 者 从 现 有 的 PuppetDB 迁 移 目录 。 


因为 PuppetDB 和 暂时 无 法 读 取 


而 言 之 ， 通 常 可 以 通过 运行 /usr/sbin/puppetdb ssl-setup-f 命 令 来 重新 初始 化 


能 解决 你 的 问题 或 者 你 想 知道 后 台 发 和 4 


keytool-keystore/path/to/keystore.jks 来 验证 密码 是 否 正 确 ， 而 


问题 3: PuppetDB 的 Dashboard 在 访问 时 出 现 了 奇怪 的 错误 。 怎 么 办 ? 


户 的 信任 库 。 前 者 的 文件 包 


户 的 证 书 颁发 机 构 的 证 书 ，PuppetDB 就 


它 来 验证 上 


户 的 客户 端 。 


进入 密 钥 密 码 。 同 样 ， 可 以 使 


答 : 通常 Dashboard 会 出 现 两 种 常见 的 错误 ， 一 种 是 在 非 SSL 下 连接 ; 一 种 是 在 SSL 下 连接 。 以 下 为 常见 的 两 种 错误 的 解决 方法 。 


1) 非 SSL 下 连接 : 以 明文 方式 连接 8080 端 


默认 情况 下 ， 出 于 安全 考虑 PuppetDB 只 将 明文 访问 方式 监听 在 本 机 localhost (默认 IP:127.0.0.1) 域 。 所 以 如 果 我 们 以 明文 方式 访问 PuppetDB， 需 要 更 改 PuppetDB 守 护 进程 的 监听 接口 


口 ， 但 PuppetDB 没 有 在 监听 。 


守护 进程 监听 在 可 以 访问 外 界 网 络 的 网 络 接口 。 


注意 的 是 ， 


2) 通过 SSL 访 问 PuppetDB， 但 是 双方 没有 建立 信任 关系 。 


因为 PuppetDB 使 
CA 签发 的 证 书 。 


问题 5: 为 什么 PuppetDB 是 


Java 编 写 的 ? 


问题 4: PuppetDB 支 持 Puppet apply 编 译 方式 吗 ? 


答 : 其 实 ，PuppetDB 并 不 是 通过 Java 语 言 开 发 的 ， 它 是 以 一 种 叫做 Clojure 的 语言 编写 的 ， 是 Lisp 在 Java 虚 拟 机 上 运行 的 一 种 方言 。 其 他 几 种 语言 是 其 


的 性 能 。 


问题 6: Java 支 持 哪些 版 本 ? 


我 们 选择 JVM 语 言 是 因为 其 出 色 的 库 功 能 和 高 性 能 。 


答 : 支持 。 关 于 puppet apply 方 式 的 更 多 的 信息 可 以 参考 http://docs.puppetlabs.com/puppetdb/latest/connect_puppet apply.html。 


keytool-keystore/path/to/truststore.jks 来 验 订 


在 VM 语言 中 ,我 们 使 


答 : 正式 支持 的 版 本 是 OpenJDK 1.7 和 Oracle 的 JDK 1.7。 


问题 7: PuppetDB 支 持 哪些 数据 库 ? 


Clojure 是 考虑 到 了 它 的 表现 力 、 性 能 以 及 我 们 团 


豆 


以 往 的 语言 经 验 。 


于 开放 源码 安装 ，pe-puppetdb 


为 我 们 以 明文 的 方式 访问 ， 所 以 需要 一 种 其 他 的 保护 手段 ， 如 防火 墙 (IPTABLES) 来 对 网 络 连 接 进 行 限制 。 


PuppetDB 的 开发 语言 和 Puppet apply 编 译 方式 是 否 支持 PuppetDB 产 生 一 些 疑 问 。 以 下 


后 者 包含 


己 的 SSL 环 境 来 解决 这 些 问 题 。 但 注意 这 一 解决 方法 的 前 提 是 系统 已 经 为 puppet agent 生 成 了 一 个 整数 (也 就 是 : 
agent 已 经 运行 了 一 次 并 且 证 书 已 经 完成 签名 ) 。 常 见 的 问题 是 在 puppet agent 运 行 前 就 已 经 安装 了 PuppetDB， 上 述 办 法 就 能 解决 这 一 问题 以 及 其 他 的 问题 。 


E 了 什么 ， 你 也 可 以 手工 管理 此 配置 。 你 可 以 在 config 文 件 中 的 信任 库 和 密 钥 库 选 项 中 设 定 信 任 库 和 密 钥 库 文件 的 位 


信任 库 。 


于 企业 


， 如 可 以 将 


的 是 Puppet 基 础 设施 的 证 书 颁发 机 构 ， 并 通过 该 机 构 签发 的 证 书 ，PuppetDB 不 信任 你 的 浏览 器 ， 你 的 浏览 器 不 信任 PuppetDB。 在 这 种 情况 下 ， 就 需要 给 浏览 器 安装 Puppet 的 


Lt 原 型， 包括 Ruby 和 JRuby， 但 这 些 语言 缺乏 必要 


答 : 如 果 用 于 生产 环境 ， 则 推荐 使 


然 MySQL 使 用 比较 广泛 ， 但 它 缺 乏 重要 的 功能 ， 如 数组 的 列 和 递归 查询 ) 。 


问题 8: 为 什么 在 装载 数据 时 ， 数 据 库 服务 器 上 的 负载 会 这 么 高 ? 


答 : 数据 库 服务 器 上 的 高 负载 可 能 是 由 很 多 原 


catalog 复 制 率 。 你 可 以 查看 Puppe 


PostgreSQL 数 据 库 。 另 外 PuppetDB 还 附带 了 一 个 说 入 式 的 HyperSQL 数 据 库 ， 它 是 一 个 体积 比较 小 的 数据 库 (我 们 尚 无 计划 支持 其 他 的 数据 库 ， 包 括 MySQL， 虽 


tDB 的 Dashboard 来 为 你 的 PuppetDB 实 例 找到 这 一 复制 率 。 通 常 该 比例 应 为 90% 或 以 上 。 如 果 这 一 比例 低 于 90%， 可 能 会 导致 数据 库 更 对 


低 catalog 复 制 率 向 导 的 步骤 来 诊断 这 一 问题 。 


第 15 章 ”Marionette 


Collective 框 架 应 用 


因 导致 的 ，Puppet 管 理 的 节点 的 总 数量 、agent 运 行 的 频率 和 每 次 运行 节点 进行 改变 的 总 次 数 等 都 有 可 能 导致 机 器 高 负载 。 负 载 高 的 一 个 可 能 的 原因 是 低 
的 I/O 负 载 。 请 参阅 故障 排除 


在 我 们 之 前 所 掌握 的 知识 体系 结构 中 ，Puppet 是 以 C/S 结 构 主动 到 Master 拉 取 配 置信 息 的 。 笔 者 以 自己 的 工作 需求 为 例 ，Puppet 已 经 满足 了 80% 的 应 用 场景 ， 但 是 还 有 20% 的 应 用 场景 是 覆盖 不 到 


的 ， 如 上 线 一 个 配置 文件 需要 及 时 在 线 生效 ， 而 Puppet 并 不 会 实时 拉 取 配置 信息 ， 特 别 是 在 Puppet Agent 比 较 多 的 时 候 ， 六 
的 需求 可 以 通过 Marionette Collective (下 称 MCollective) 来 很 好 地 解决 ， 它 可 以 主动 推送 信息 给 所 有 的 Agent， 功 能 类 似 了 


E 效 的 时 间 更 是 无 法 预测 ， 使 得 这 一 上 线 需求 并 不 能 很 好 地 完成 。 其 实 这 种 类 似 
Fpuppet kick 命 令 ， 而 主动 推送 信息 是 puppet kick 的 全 部 功能 ， 但 对 于 


MCollective 来 说 这 只 是 其 强大 功能 的 冰山 一 角 。MCollective 是 一 个 框架 ， 它 的 优势 是 很 多 功能 可 以 通过 插件 来 实现 ， 也 就 满足 了 大 多 数 人 在 不 同 场景 下 的 需求 。 本 章 就 来 介绍 这 个 强大 的 框架 ， 首 先 介绍 


MCollective， 让 读者 对 它 有 一 个 更 
MCollective Client 与 MCollective 


深 的 理解 与 认识 ; 然后 介绍 Middleware (中 文 翻译 “中 间 件 ”， 下 称 “ 中 间 件 ”) ， 它 是 一 套 降 低 MCollective 复 杂 度 的 中 间 层 ，MCollective 借 助 它 来 建立 


Server 的 通信 ; 然后 介绍 MCollective 环 境 的 安装 与 配置 ， 由 于 网 路 环境 的 不 同 ， 安 装 的 复杂 度 也 是 不 一 样 的， 读者 可 以 根据 自己 的 情况 来 选择 安装 方式 ， 安 装 与 配置 的 


选择 主要 参照 的 是 网 络 传输 信息 的 安全 级 别 ; 接着 介绍 如 何 使 用 MCollective， 并 以 案例 的 方式 让 读者 更 快 地 了 解 它 ; 然后 介绍 MCollective 插 件 应 用 ， 这 是 MCollective 的 核心 ， 很 多 个 性 的 需求 可 以 通过 
这 一 节 来 解决 ;最 后 介绍 如 何 通 过 MCollective 管 理 Puppet Agent， 并 通过 与 puppet kick 命 令 的 功能 进行 对 比 ， 了 解 MCollective 的 强大 之 处 。 


15.1 MCollective 介 绍 


1.MCollective 简 介 


Puppet 的 生态 圈 中 包含 了 很 多 利器 ， 如 Puppet DB、Facter 和 Puppet Dashboard 等 ， 它 们 在 不 同 的 领域 中 起 到 了 不 可 替代 的 作用 。 与 以 上 工具 相 类 似 ，MCollective 也 是 一 个 与 Puppet 密 切 相关 的 任 


务 编排 执行 框架 ， 虽 然 Puppet 善 于 管理 系统 的 状态 ， 但 是 Agent 默 认 30 分 钟 的 运行 间隔 ， 使 它 不 适合 实时 任务 的 执行 与 控制 ， 尽 管 puppet kick 命 令 


的 功能 可 以 在 Master 上 主动 触发 Agent 的 执行 ， 但 是 它 


并 不 适合 海量 服务 器 管理 的 场景 。 与 puppet kick 命 令 相 比 ，MCollective 涵 羡 了 puppet kick 命 令 的 全 部 功能 ， 同 时 致力 于 以 一 种 新 颖 独特 的 方式 来 满足 海量 服务 器 管理 的 需求 ， 它 将 服务 器 上 报 的 信息 划 
分 在 不 同 的 集群 中 进行 管理 ， 在 这 一 点 上 ， 它 的 功能 与 Func (https://fedorahosted.org/func/) 、Fabric (http://fabfile.org/) 和 Capistrano (http://www.capify.org/) 相 类 似 。 


2.MCollective 的 特点 


与 同类 软件 Func、Fabric 和 Ca 


pistrano 相 比 ，MCollective 有 如 下 特点 : 


“能够 与 小 型 、 中 型 到 大 型 服务 器 集群 交互 。 


“ 使 用 广播 范式 (broadcast paradigm) 来 进行 请 求 分 发 ， 所 有 服务 器 会 同时 收 到 请 求 ， 而 只 有 与 请 求 所 附带 的 过 滤器 匹配 的 服务 器 才 会 去 执行 这 些 请 求 。 


' 打破 了 以 往 用 主机 名 作为 身份 验证 手段 的 复杂 命名 规则 。 使 用 每 台 机 器 自身 提供 的 丰富 的 目标 数据 来 进行 定位 。 目 标 数据 可 以 来 自 于 : Puppet、Chef、Facter、Ohai 或 者 MCollective 自 身 提供 的 插件 。 


“ 使 用 命令 行 调用 远程 代理 。 
“能够 写 自 定义 的 设备 报告 。 

“ 大 量 的 代理 来 管理 包 、 服 务 
“ 允许 写 SimpleRPC 风 格 的 代理 


* 外 部 可 插件 化 以 实现 本 地 需 


p 其 他 来 自 于 社区 的 通用 组 件 。 


、 客 户 端 ， 以 及 使 用 Ruby 实 现 Web UIs。 


上 R。 


“中间 件 系 统 有 着 丰富 的 身份 验证 、 授 权 模型 与 数据 加 密 方式 ， 通 过 这 些 方 式 可 以 建立 安全 的 第 一 道 防线 。 


“ 重用 中 间 件 来 做 集群 、 路 由 


3.MCollective 的 优势 


p 网 络 隔离 以 实现 安全 和 可 扩展 安装 。 


使 用 MCollective Agent 可 以 很 容易 地 以 


这 些 信息 后 ，MCollective 就 能 将 全 部 的 Agent 划 分 到 不 同 的 集群 中 ， 程 序 也 是 在 一 个 集群 上 执行 而 不 是 一 台 机 器 上 执行 。 


另外 MCollective 的 优势 也 颠覆 了 类 似 通过 循环 像 SSH 遍 历 服 务 器 的 方式 ， 因 为 MCollective 使 用 的 RPC 框 架 使 我 们 无 须 花费 太 多 精力 在 编写 代码 连接 服务 器 、 将 命令 传递 给 各 机 器 以 及 处 理 各 


自身 数据 而 不 是 主机 名 来 划分 不 同 的 集群 ， 这 意味 着 我 们 不 需要 维护 一 个 庞大 的 主机 名 或 者 IP 列 表 ， 集 群 中 所 有 的 Agent 都 需要 实时 地 汇报 自身 的 信息 ， 有 了 


常 等 琐碎 的 工作 上 ，MCollective 可 以 很 好 地 帮 有 我 们 解决 这 些 问 题 。 如 果 想 在 所 有 的 服务 器 上 执行 某 动作 ， 就 像 puppet kick 命 令 那 样 ， 可 以 通过 与 Puppet 结 合 部 署 MCollective Server， 通 过 
Middleware (中 间 件 ) 与 这 些 MCollective Server 交 互 传输 命令 ， 并 执行 命令 。 除 此 之 外 MCollective 还 有 以 下 优势 : 


“去 中 心 化 存储 (No Centralized inventory) 。 


“ 支持 成 千 上 万 节点 (Thousands Of Nodes) 。 


' 新 建 框架 (Framewotrk For Creation) 。 


:异步 执行 (Asynchronous) 。 


4.MCollective 解 决 的 问题 


志和 异 


有 许多 问题 和 用 例 特 别 适 合 通过 M Collective 来 解决 ， 如 : 

“ 有 多 少 系统 拥有 32G 的 内 存 。 

“ 现在 线 上 运行 的 系统 发 行 版 本 有 哪些 。 

“ 在 所 有 的 系统 上 部 署 一 个 1.2.3 版 本 的 程序 。 

在 质量 保障 系统 上 部 署 一 个 1.2.4 版 本 的 程序 。 

“ 在 开发 系统 上 部 署 一 个 1.2.5rc2 版 本 的 程序 。 

“ 在 所 有 系统 上 运行 Puppet， 并 确保 最 多 只 有 10 个 Puppet 同 时 运行 。 


“ 重启 所 有 位 于 某 IDC 的 Apache 服 务 器 。 


5.MCollective 工 作 流程 


MCollective 通 常 与 Puppet 结 合 使 用 ，MCollective 的 工作 流程 如 图 15-1 所 示 。 


从 图 15-1 的 MCollective 的 工作 流程 中 可 以 看 到 ，MCollective 为 C/S 架 构 ， 管 理 员 在 MCollective Client 上 通过 MCollective 提 供 的 命令 通道 下 发 指令 给 中 间 件 ， 而 MCollective Server 通 过 订阅 中 间 件 
的 消息 获取 这 些 指令 并 执行 。 整 个 MCollective 的 工作 流程 中 共有 3 个 角色 ， 它 们 分 别 如 下 。 


“ MCollective Client: MCollective 的 客户 端 ( 下 称 Client) ， 用 来 发 送 指令 到 中 间 件 ，MCollective Server 通 过 订阅 中 间 件 消息 获取 指令 并 在 本 机 执行 。 通 常 Client 被 安装 在 Puppet Master 上 ， 用 于 发 送 指令 给 


MCollective Server。 
“中间 件 : 中 间 件 是 一 种 独立 的 系统 软件 或 服务 程序 ，MCollective 借 助 中 间 件 来 搭建 Client 与 MCollective Server 连 接 的 桥梁 。 目 前 常见 的 中 间 件 包括 ActiveMQ 和 RabbitMQ。 


“ MCollective Server: MCollective 的 服务 端 (或 者 被 称 为 node 节 点 ， 下 称 Server) ， 通 常 Server 被 安装 在 Puppet Agent 上 。Servetr 端 需要 运行 MCollectived 守 护 进程 来 接收 Client 通 过 中 间 件 发 送 的 指令 ， 并 在 
Puppet Agent 上 应 用 这 些 指令 。 


Puppet Master 


Server ( 服务 器 端 ) 


Server ( 服务 顺 冰 ) 


Server ( 服务 器 端 ) 


Server (服务 需 端 ) 
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9 
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图 15-1 MCollective 工 作 流程 


目前 MCollective 只 提供 给 我 们 AP1， 而 尚未 提供 可 视 化 用 户 界面 ， 原 因 是 许多 强大 的 命令 和 控制 工具 都 提供 了 与 UNIX Shell 相 同 的 功能 。 虽 然 Shell 界 面 非 常 强大 ， 但 与 API 相 比 其 并 不 是 一 个 理想 的 编 
程 接口 ， 而 通过 MCollective 的 API 就 可 以 很 方便 地 将 编排 好 的 动作 通过 Agent 插 件 在 Agent 上 实现 ， 扩 展 性 好 ， 而 且 简 单 、 方 便 、 实 用 。 这 就 是 MCollective。 


15.2 ”中 间 件 介绍 


上 面 在 介绍 MCollective 的 工作 流程 中 ， 笔 者 曾 提 到 
成 的 分 布 编程 环境 ， 简 化 分 布 应 用 的 设计 、 编 程 和 管理 。 


了 中 间 件 。 中 间 件 是 指 在 网 络 环境 下 ， 位 于 操作 系统 等 系统 软件 和 应 用 软件 之 间 的 一 种 连接 分 布 计算 实体 的 分 布 式 软件 ， 它 通过 提供 简单 、 一 致 和 和 集 
从 本 质 上 讲 ， 中 间 件 是 一 个 分 布 软件 层 ， 屏 蔽 了 底层 分 布 环境 (网 络 、 主 机 、 操 作 系统 和 编程 语言 ) 的 复杂 性 和 异 构 性 ， 主 要 解决 异 构 网 络 环境 下 


分 布 应 用 软件 之 间 的 互联 、 互 通 和 互 操作 问题 ， 可 以 提高 应 用 系统 的 可 移植 性 。 而 MCollective 正 是 利用 了 中 间 件 的 发 布 和 订阅 消息 传递 技术 ， 这 些 发 布 和 订阅 技术 通常 使 用 异步 消息 软件 ， 如 ActiveMQ 和 
RabbitMQ 等 来 实现 。 其 实 MCollective 本 身 使 用 Stomp (Streaming Text Orientated Message Protocol， 中 文 译 为 “ 流 文本 定向 协议 ”) 来 发 送 和 接收 消息 ， 所 以 理论 上 讲 ， 任 何 一 个 实现 健壮 Stomp 


监听 服务 的 消息 中 间 件 都 可 以 与 MCollective 协 同 工 作 ， 


15.2.1 ActiveMQ 介 绍 


只 不 过 ActiveMQ 和 RabbitMQ 是 MCollective 使 用 最 广泛 的 两 个 消息 中 间 件 。 


ActiveMQ 由 Apache 官 方 维护 ， 它 是 一 款 流 行 且 功能 强劲 的 开源 消息 总 线 ， 运 行 在 JVM 环 境 上 。ActiveMQ 完 全 支持 JMS1.1 和 J2EE 1.4 规 范 的 JMS Provider 实 现 ， 尽 管 JMS 规 范 出 台 已 经 很 久 了 ， 但 是 
JMS 在 当今 的 J2EE 应 用 中 仍然 扮演 着 特殊 的 地 位 。ActiveMQ 的 特性 如 下 : 


“ 可 以 使 用 多 种 语言 和 协议 编写 客户 端 。 语言 : Java、C、C++、Ruby、Perl、Python 和 PHP 等 。 应 用 协议 : OpenWire、Stomp、REST、WS Notification、XMPP 和 AMQP 等 。 


. 完全 支持 JMS1.1 和 ]J2EB1.4 规 范 。 


- 支持 Spring，ActiveMQ 可 以 很 容易 内 褒 到 使 用 Spring 的 系统 里 面 去 ， 而 且 也 支持 Spring2.0 的 特性 。 


“ 通过 了 常见 J2EE 服 务 器 (如 Geronimo、JBoss 4、GlassFish 和 WebLogic) 的 测试 ， 其 中 通过 JCA 1.5resource adaptors 的 配置 ， 可 以 让 ActiveMQ 自 动 部 署 到 任何 兼容 J2EE 1.4 的 商业 服务 器 上 。 


“ 支持 多 种 传送 协议 ， 如 in-VM、TCP、SSL、NIO、 


UDP、JGroups 和 JXTA 等 。 


“ 支持 通过 JDBC 和 journal 方式 提供 高 速 的 消息 持久 化 。 


“ 从 设计 上 保证 了 高 性 能 的 集群 、 客 户 端 到 服务 器 或 者 点 对 点 。 


“ 支持 Ajax。 


“ 支持 与 Axis (全 称 为 Apache EXtensible Interaction System) 的 整合 。 


“ 可 以 很 容易 地 调用 内 谱 JMS provider 进 行 测试 。 


关于 ActiveMQ 的 更 多 信息 请 参考 官方 网 站 http://activemq.apache.org/。 


15.2.2 RabbitMQ 介 绍 


RabbitMQ 是 一 个 实现 了 高 级 消息 排队 协议 (AMQ 


P) 的 消息 队列 服务 。RabbitMQ 基 于 OTP (Open Telecom Platform， 开 放电 信 平 台 ) 进行 构建 ， 并 使 用 Erlang 语 言 和 运行 环境 来 实现 。 关 了 


RabbitMQ 的 更 多 信息 请 参考 官方 网 站 http://www.rabbitmq.com/。 


15.3 ”MCollective 环 境 的 安装 与 配置 


MCollective 由 Puppet 官 方 提供 开发 与 维护 ，2009 


12 月 2 日 发 布 了 MCollective 首 个 旗舰 版 本 ， 截 止 到 本 书 出 版 前 历经 了 30 多 个 大 小 版 本 。 我 们 可 以 从 版 本 变更 记 


录 http://docs.puppetlabs.com/MCollective/releasenotes.html 上 的 内 容 对 其 进行 了 解 。MCollective 的 功能 从 单一 到 逐渐 丰富 并 不 断 保持 它 的 活力 。 目 前 MCollective 可 以 运行 在 UNIX/Linux 系 统 上 ,也 


可 以 运行 在 微软 的 Windows 系 列 操作 系统 上 ， 由 于 它 支 


持 的 操作 系统 发 行 版 本 比较 多 ， 不 逐一 介绍 ， 可 以 通过 http://docs.puppetlabs.com/MCollective/deploy/install.html#system-requirements 进 行 


了 解 。 与 Puppet 一 样 ，MCollective 也 是 通过 Ruby 语 言 
同 的 浆 病 ， 那 就 是 它 并 不 支持 Ruby 所 有 的 版 本 。 如 目前 
议 ) ， 所 以 也 不 能 使 用 。Ruby1.9.0 到 1.9.2 版 本 对 MCol 


编写 的 ， 因 为 Ruby 本 身 就 可 以 跨越 平台 ， 所 以 它 也 继承 了 这 个 优势 ， 不 局 限 对 某 一 系统 的 应 用 。 但 需要 注意 的 是 ，MCollective 与 Puppet 也 有 着 相 
McCollective 还 没有 正式 提供 对 Ruby2 版 本 的 支持 ， 另 外 在 MCollective 连 接 中 间 件 时 ， 因 为 Ruby1.8.5 和 Ruby1.8.6 版 本 不 支持 TLS (安全 传输 层 协 
lective 的 支持 也 不 是 很 好 ， 唯 有 Ruby 1.9.3 和 Ruby1.8.7 版 本 适用 于 MCollective。 这 里 推荐 使 用 Ruby1.8.7 版 本 ， 因 为 它 对 Puppet 也 做 了 很 好 的 支 


持 。 另 外 还 需要 注意 ， 因 为 MCollective 通 过 Stomp 协 议 进行 通信 ， 所 以 在 安装 Ruby 环 境 后 还 要 安装 Stomp。 笔 者 在 整个 配置 环境 中 使 用 了 CentOS 6.5_84 的 操作 系统 环境 。 下 面 首先 从 MCollective 的 安装 
开始 介绍 ， 让 读者 了 解 MCollective 的 角色 与 分 工 ， 再 介绍 中 间 件 的 安装 与 配置 ， 读 者 需要 注意 线 上 运行 的 MCollective 只 需要 一 个 消息 中 间 件 ， 可 以 选择 Active MQ 或 者 RabbitMQ， 中 间 件 的 配置 复杂 程 
度 不 一 样 ， 需 要 根据 自己 的 网 络 安全 状况 级 别 来 选择 适合 的 配置 方式 。 


15.3.1 MCollective 安 装 


MCollective 安 装 时 需要 注意 ，MCollective 角 色 不 同安 装 的 软件 也 不 一 致 ， 严 格 的 安装 需要 注意 以 下 事项 : 


“ Server 端 必须 安装 mcollective 软 件 包 ， 通 常 Server 与 Puppet Agent 运 行 在 同一 台 服 务 器 上 。 


' Client 端 必须 安装 mcollective-client 软 件 包 ， 通 常 C 


' Setrvet 端 与 Client 端 都 需要 安装 mcollective-common 


ient 与 Puppet Master 运 行 在 同一 台 服 务 器 上 。 


软件 包 。 


但 笔者 更 推荐 大 家 不 区 分 Server 或 Client， 这 些 包 者 


安装 ， 安 装 包 彼 此 间 也 不 会 有 什么 冲突 。 下 面 来 介绍 MCollective 的 两 种 安装 方式 。 


方式 1 在 常见 的 系统 发 行 版 本 (如 Debian、Ubuntu、RedHat 和 CentOS 系 统 发 行 版 本 ) 上 安装 MCollective。 如 果 读 者 的 操作 系统 环境 不 在 上 述 常 见 系统 发 行 版 本 中 ， 可 以 参 


考 http://docs.puppetlabs.com/MCollective/deploy/ 


install.html#running-from-source， 通 过 源码 方式 来 安装 MCollective。 


1) 在 Debian 和 Ubuntu 上 安装 MCollective 环 境 。 根 据 上 面 介 绍 的 3 个 角色 ， 我 们 分 别 在 Client 与 Server 上 进行 安装 ， 下 载 MCollective 的 软件 包 并 安装 ， 具 体 命令 如 下 : 


# 下 载 
# wget http://downloads.puppetlabs.com/MColle 


ctive/MCollective 2.0.0-1 all.deb 


# wget http://downloads.puppetlabs.com/MCollective/MCollective-client 2.0.0-2 all.deb 


安 旨 


安装 


# wget http://downloads.puppetlabs.com/MCollective/MCollective-client 2.0.0-2 all.deb 


# dpkg -I MCollective*.deb 


MCollective 安 装 完成 后 ， 接 着 安装 Stomp 软 件 包 ， 因 为 MCollective 需 要 通过 Stomp 协 议 进行 通信 (Stomp 需 要 安装 1.2.2 或 者 更 高 版 本 ) 。 


# apt-get ruby-stomp 


2) 在 RedHat 和 CentOS 上 安装 MCollective， 同 样 分 别 在 Client 与 Server 上 进行 安装 。 首 先 安装 Puppet 官 网 提供 的 软件 源 。 


# 安装 Puppet 官 方 源 

# rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm 
# 导入 GPG 密 钥 

# rpm -import http://yum.puppetlabs.com/RPM-GPG-KEY-puppetlabs 


3) 安装 MCollective 的 软件 包 (包含 mcollective、MCollective-client 和 mcollective-common 软 件 包 ) ， 通 过 通配符 “*” 安 装 MCollective 的 相关 环境 。 


# yum install MCollective-* 


最 后 安装 rubygem-stomp (Stomp 需 要 安装 1.2.2 或 者 更 高 版 本 ) 。 


# yum install rubygem-stomp-1.3.2 


方式 2 ”通过 Puppet 来 部 署 MCollective (推荐 使 用 ) 。 当 我 们 管理 的 服务 器 比较 多 的 时 候 ， 通 过 Puppet 来 部 署 Stomp 与 MCollective 是 一 个 不 错 的 选择 ， 以 下 为 部 署 MCollective 的 基础 模块 的 代码 ， 
它 包 含 了 Stomp 和 MCollective 环 境 的 安装 ， 以 及 MCollective 的 守护 进程 的 启动 (MCollective 守 护 进 程 需要 启动 在 Server 端 上 ) 。 


class MCollective { 
# Stomp 软 件 包 安 装 (Stomp 需 要 安装 1.2.2 或 者 更 高 版 本 ) 
Package {'stomp': 
ensure => '1.2.2', 
provider => gem, 
before => Package['MCollective'], 


} 

# mcollective 环 境 安装 
Package {'MCollective': 
ensure => latest, 


} 

# mcollective 启 动 

service {'MCollective': 

ensure => running, 

enable => true, 

require => Package['MCollective'], 


15.3.2 MCollective 配 置 


本 节 主 要 介绍 Client、 中 间 件 与 Server 的 配置 过 程 。 由 于 配置 的 环节 比较 多 ,为 了 让 读者 更 清晰 地 掌握 MCollective 配 置 过程 ， 将 整个 MCollective 配 置信 息 以 表 列 出 ， 如 表 15-1 所 示 。 


表 15-1 MCollective 与 中 间 件 配置 信息 


有 
Client 与 Puppet Master 192.168.7.7 
中 间 件 (ActiveMQ/RabbitMQ ) 192.168.7.8 
Server 与 Puppet Agent 192.168.7.9 


关于 中 间 件 的 使 用 ，MCollective 官 方 推荐 我 们 使 用 ActiveMQ。ActiveMQ 优 势 是 : 很 多 网 络 测试 表明 ，ActiveMQ 有 着 良好 的 性 能 ， 并 且 足 够 安全 与 灵活 。 但 它 也 有 缺点 ， 它 使 用 笨拙 的 XML 配置 文 
件 ， 在 复杂 的 部 署 中 可 能 需要 编辑 多 个 区 段 。 但 这 并 不 影响 我 们 使 用 ， 所 以 本 节 主 要 通过 ActiveM Q 搭 建 Client 与 Server 的 桥梁 。 关 于 RabbitMQ 的 配置 ， 如 果 读者 有 需求 可 以 参考 官方 网 
站 http://docs.puppetlabs.com/MCollective/reference/plugins/connector_ rabbitmq.html 获 取 更 多 配置 信息 ， 笔 者 在 此 就 不 深入 介绍 RabbitMQ 了 。 


另外 由 于 我 们 使 用 了 最 新 版 本 的 MCollective/ActiveMQ 接 口 ， 如 果 服 务 器 上 已 经 安装 了 MCollective/ActiveMQ 环 境 ， 在 使 用 前 需要 注意 它们 的 版 本 情况 。 


' MCollective 需 要 升级 到 2.0.0.0 或 更 高 版 本 。 


* ActiveMQ 需 要 升级 到 5.5.0 或 更 高 版 本 。 


“ Stomp gem 需 要 升级 到 1.2.2 或 更 高 版 本 。 


现在 开始 部 署 MCollective 与 ActiveMQ， 目 前 有 两 种 配置 方案 ， 读 者 可 以 根据 自己 的 网 络 状况 来 选择 不 同 的 方案 。 


方案 1 MCollective 通 过 ActiveMQ 提 供 的 账号 和 密码 进行 连接 ， 此 方式 的 优势 是 配置 简单 ， 劣 势 是 明文 传输 安全 性 较 差 ， 适 合 在 比较 安全 的 网 络 环境 中 使 
笔者 通过 以 下 5 步 来 配置 非 加 密 连 接 的 方案 1。 


1) 在 主机 mq.example.com (IP: 192.168.7.8) 上 安装 ActiveMQ 软 件 包 。 由 于 默认 系统 源 并 不 包括 ActiveMQ 软 件 包 ， 需 要 借助 Puppet 源 来 安装 ActiveMQ。 


# 软件 源 的 安装 

# rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm 
# 安装 ActiveMO 

# yum install activemq 


2) 配置 ActiveMQ， 在 ActiveMQ 中 创建 MCollective 的 Server/Client 连 接 时 用 的 账号 与 密码 。 编 辑 ActiveMQ 的 /etc/activemq/activemq.xml 配 置 文 件 ， 查 找 simpleAuthenticationPlugin 关 键 字 ， 
修改 文件 中 的 默认 账号 与 密码 (修改 前 建议 备份 activemq.xml 文 件 ， 以 防 改 错 启动 失败 ) 。 关 于 ActiveMQ 的 配置 大 家 还 可 以 参考 网 上 的 文章 http://manzuosteve.blog.51cto.com/1966239/1192190。 


<plugins> 
<simpleAuthenticationPlugin> 
<users> 
<authenticationUser username="admin" password="secret" groups="MCollective,admins,everyone"/> # 将 username 由 admin 替 换 为 mcollective, 密码 由 secret 蔡 换 为 mypass 
</users> 


</simpleAuthenticationPlugin> 
</plugins> 


确认 ActiveMQ 的 61613 端 口 在 activemq.xm| 配 置 文件 中 处 于 开启 状态 。 


<transportConnectors> 
<transportConnector name="stomptnio" uri="stomptnio://0.0.0.0:61613"/> 
</transportConnectors> 


然后 启动 ActiveMQ 的 守护 进程 。 


# service activemq start 


最 后 通过 netstat-tnl 命 令 确认 61613 端 口 处 于 监听 状态 。 如 果 端 口 处 于 监听 状态 说 明 启 动 守 护 进程 成 功 。 


# netstat -tnl | grep 61613 


3) 配置 Client 端 (主机 master.example.com，IP: 192.168.7.7) ，Client 的 功能 是 发 送 指令 到 ActiveMQ。 修 改 Client 端 /etc/MCollective/client.cfg 配 置 文件 ， 使 Client 端 与 ActiveMQ 建 立 联系 。 为 
了 介绍 方便 ， 笔 者 将 Client.cfg 配 置 文件 分 为 了 5 个 部 分 (具体 见 代码 中 的 注释 ) ， 读 者 可 以 重点 关注 第 四 部 分 (Client.cfg 的 大 部 分 参数 可 以 保持 默认 ) ，Client.cfg 常 用 配置 如 下 。 关 于 Client.cfg 配 置 文件 
的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/MCollective/configure/client.html。 


# client.cfg 

# 1) Subcollectives 部 分 

main collective = MCollective 

collectives = MCollective 

# 2) 基本 配置 部 分 

libdir = /usr/libexec/MCollective 

logger type = file 

logfile = /var/log/MCollective.log 

loglevel = warn 

# 3) 安全 部 分 

securityprovider = Psk 

plugin.psk = unset 

# 4) MO 消息 队列 连接 设置 部 分 

connector = activemq # 连接 插件 ,可 以 使 之 ActiveMO 或 RabbitMO 
plugin.activemq.pool.size = 1 # RctiveMo 的 ID 
plugin.activemq.pool.1.host = mq.example.com # RctiveMo 的 地 址 
plugin.activemq.pool.1.port = 61613 # 非 加 密 的 Stomp 协 议 
plugin.activemq.pool.1.user = MCollective RctiveMo 的 用 户 名 
plugin.activemq.pool.1.password = mypass # 连接 ActiveMO 的 密码 
# 5) Facts 部 分 

factsource = yaml 

plugin.yaml = /etc/MCollective/facts.yaml 

fact_ cache time = 300 


如 以 上 配置 所 示 ， 配 置 文件 共 分 为 以 下 5 个 部 分 。 
' Subcollectives 部 分 
.main_collective 参 数 : 默认 请 求 策略 。 


“ collectives 参 数 : 分 类 请 求 策 略 ， 默 认 情 况 下 ， 所 有 的 Server 属 于 单一 广播 域 ， 可 以 追加 bj_MCollective、sz_MCollective、sh_mcollective 和 gz_mcollective 等 ， 以 地 域 划 分 接收 请 求 ， 关 于 广播 域 的 划分 


可 以 参考 官方 网 站 http://docs.puppetlabs.com/MCollective/reference/basic/subcollectives.html。 
“ 基本 设置 部 分 。 
:libdir 参 数 : 插件 搜索 路 径 。MCollective 在 不 同 操作 系统 发 行 版 本 中 插件 的 位 置 也 不 一 样 ， 如 表 15-2 所 示 。 当 然 也 可 以 通过 libdir 参 数 改变 插件 的 存放 位 置 。 


“ logger_type 参 数 : MCollective 守 护 进 程 日 志 记录 方式 ， 黑 认为 fle (文件 记录 ) ， 可 选 参数 syslog 与 console。 


“ logfile 参 数 : 指定 log 写 入 文件 地 址 。 
“ loglevel 参 数 : 记录 日 志 级 别 ， 上 默认 为 info。 可 选 fatal、error、warn、info 和 debug。 


表 15-2 MCollective 插 件 默 认 存 放 目 录 


操作 系统 发 行 版 本 插件 默认 目录 
Red Hat 系列 操作 系统 | /usr/libexec/MCollective 
Debian 系列 操作 系统 | /usr/share/MCollective/plugins 


“ 安全 部 分 。 
“securityprovider 参 数 : 使 用 哪 种 安全 插件 ， 默 认 值 为 pskK， 它 是 一 个 共享 的 密码 ， 用 于 服务 器 间 交 换 数 据 凭证。secutityprovider 参 数 还 有 两 个 可 选 值 ssl 和 aes_secutity。 
“ plugin.psk 参 数 : 共享 密码 。 
“ MQ 消息 队列 连接 设置 部 分 
' connector 参 数 : 连接 的 中 间 件 ， 默 认为 ActiveMQ ， 可 选 参数 RabbitMQ。 
“ plugin.activemq.pool.size 参 数 : 为 ActiveMQ 的 池子 ID 号 ， 值 为 1， 以 下 配置 参数 均 对 池子 ID1 生 效 。 


“ Plugin.activemq.pool.1.host 参 数 : 指定 中 间 件 的 服务 器 地 址 。 


“ plugin.activemq.pool.1.port 参 数 : 根据 中 间 件 的 配置 指定 连接 的 端口 。 

“ plugin.activemq.pool.1.user 参 数 : 指定 访问 中 间 件 的 账户 名 。 

“ plugin.activemq.pool.1.password 参 数 : 指定 中 间 件 的 账户 密码 。 
“Facts 部 分 。 

“ factsoutce 参 数 : 指定 Facts 插 件 ， 默 认为 yaml。 

“ Plugin.yaml 参 数 : 缓存 Facts 的 配置 文件 。 

“ fact_cache_time 参 数 : Facts 缓 存 时 间 ， 单 位 秒 。 


4) 配置 Server 端 (主机 agent.exmaple.com，IP: 192.168.7.9) ， 它 以 MCollective 守 护 进程 的 方式 运行 在 Puppet Agent 端 ， 当 ActiveMQ 收 到 Client 的 指令 ，Server 会 通过 订阅 消息 的 方式 从 
ActiveMQ 获 取 指 令 信息 ， 并 在 Puppet Agent 端 执行 。 我 们 要 指定 Server 端 配置 文件 到 ActiveMQ,， 编辑 Server 端 的 配置 文件 /etc/MCollective/server.cfg， 然 后 启动 MCollective 守 护 进 程 。 由 于 
Client.cfg 与 刚 介 绍 的 Server.cfg 很 多 配置 参数 一 致 配置 ， 所 以 为 了 简化 流程 ， 笔 者 通过 注释 的 方式 只 介绍 两 个 配置 文件 的 差异 部 分 ， 读 者 需要 重点 关注 差异 部 分 与 ActiveM Q 的 连接 部 分 。 关 于 Server.cfg 配 
置 文件 的 更 多 信息 请 参考 官方 网 站 http://docs.puppetlabs.com/MCollective/configure/server.html。 


# server.cfg 

main collective = MCollective 

collectives = MCollective 

libdir = /usr/libexec/MCollective 

logfile = /var/log/MCollective.log 

loglevel = info 

daemonize = 1 # 是 否 在 后 台 运行 ncollective 守 护 进 程 

securityprovider = psk 

plugin.psk = unset # 共享 密码 

Connector = activemq # 连接 插件 ,可 以 使 用 ActiveMO 或 RabbitMO 

plugin.activemq.pool.size = 1 # ActiveMO 的 ID 

plugin.activemq.pool.1.host = mq.example.com # ActiveMO 的 地 址 
的 0 


plugin.activemq.pool.1.port = 61613 # 非 加 密 的 Stomp 协 议 
plugin.activemq.pool.1.user = MCollective # 连接 ActiveMo 的 用 户 名 
plugin.activemq.pool.1.password = mypass # 连接 ActiveMO 的 密码 


factsource = yaml 
plugin.yaml = /etc/MCollective/facts.yaml 
fact_ cache time = 300 


读者 需要 注意 Server 端 与 Client 的 区 别 ， 在 Server 端 编辑 Server.cfg 配 置 文 件 后 ， 要 启动 MCollective 守 护 进程 。 每 次 修改 Server.cfg 配 置 文件 要 重新 启动 MCollective 守 护 进 程 ( 当 服务 器 较 多 上 时， 推荐 
使 用 Puppet 对 Server 的 MCollective 守 护 进 程 进行 配置 与 管理 ) 。 以 下 为 启动 MCollective 守 护 进 程 的 方法 。 


# service MCollective start 


5) MCollective 与 ActiveMQ 环 境 配 置 完毕 后 ， 在 Client 端 (主机 master.example.com，IP: 192.168.7.7) 通过 MCollective 自 带 mco 命 令 的 ping 子 命令 进行 最 终 配置 结果 的 测试 。 


# mco ping 

master .example.com time=85.78 ms 
agent .example.com time=126.42 ms 
= 一 ”Ding statistics -—-~ 

2 replies max: 126.42 min: 85.78 avg: 106.10 


mco 命 令 下 的 ping 子 命令 的 功能 是 让 MCollective 框 架 中 所 有 运行 的 Server 端 做 出 反馈 ， 它 可 以 测试 Server 端 、ActiveMQ 和 Client 配 置 是 否 正 常 ， 所 以 以 上 输出 表明 我 们 已 经 成 功 地 配置 了 
MCollective。 如 果 mco ping 命 令 没有 返回 结果 ， 很 有 可 能 是 由 以 下 两 种 原因 导致 的 : 


' Client 端 与 Server 端 密 钥 不 匹配 。 
“ Client 端 或 服务 端 中 的 Stomp 用 户 名 或 密码 不 正确 。 


如 果 并 不 是 以 上 原因 导致 的 ， 我 们 还 可 以 从 /var/log/activemq/activemq.log 日 志 中 查找 线索 ， 并 妥善 解决 。 


方案 2 使 用 安全 传输 层 协 议 (TLS) ， 用 于 在 两 个 通信 应 用 程序 之 间 提 供 保密 性 和 数据 完整 性 。 此 方式 的 优势 是 安全 性 较 高 ， 适 用 于 安全 性 较 差 的 网 络 环境 ， 劣 势 是 配置 比较 复杂 。 


笔者 通过 9 步 来 配置 安全 传输 层 协议 (TLS) 的 方案 2。 整 个 配置 过 程 中 ， 使 用 了 Puppet 的 证 书 来 配置 安全 传输 层 协 议 (TLS) 。 


1) 在 master.example.com (IP:192.168.7.7) 上 找到 Puppet Master 的 CA、 密 钥 和 根 证 书 的 位 置 ， 通 常 它们 会 被 放置 在 以 下 位 


# /var/lib/puppet/ssl/certs/ca.pem 
# /var/lib/puppet/ssl/certs/master.example.com.pem cert .pem 
# /var/lib/puppet/ssl/private keys/master .example.com.pem private.pem 


以 上 Puppet Master 证 书 为 默认 配置 目录 ， 如 果 无 法 在 默认 目录 找到 ， 我 们 还 可 以 通过 Puppet 提 供 的 puppet agent--configprint ssldir 命 令 找到 它们 。 


2) 在 主机 mq.example.com (IP: 192.168.7.8) 上 创建 ssI 目 录 ， 通 过 scp 命 令 复 制 Puppet Master 证 书 文件 到 ssl 目 录 。 


# 创建 ssl 目 录 

# mkdir -P /etc/activemq/ss1/ 

# 复制 ca.pem 文 件 

# scp root@192.168.7.7: /var/lib/puppet/ssl/certs/ca.pem /etc/activemq/ssl/ 

# ar, evans, on, pam cert .pem 证 书 文件 

# scp root@192.168.7.7: /var/lib/puppet/ssl/certs/master.example.com.pem cert.pem /etc/activemgq/ssl1/ 

# 复制 master .example.com.pem private.pem 证 书 文件 es 

# scp root@192.168.7.7: /var/lib/puppet/ssl/private keys/master.example.com.pem private.pem /etc/activemgq/ssl1/ 


复制 证 书后 ， 需 要 确认 文件 证 书 是 否 有 读 取 权限 。 通 过 以 下 命令 授权 目录 与 目录 中 的 文件 。 


# chmod -R 766 /etc/activemq/ss1/ 


3) 在 主机 mq.example.com (IP: 192.168.7.8) 上 创建 Truststore 文 件 。Truststore 文 件 决 定 哪些 证 书 可 以 连接 到 ActiveMQ 上 ， 如 果 导入 的 是 某 个 CA 认证 ，ActiveM Q 将 会 信任 由 这 个 CA 签名 的 任何 
证 书 。 稍 后 我 们 还 需 创建 keystore 文 件 ， 两 个 文件 创建 时 都 需要 密码 ， 这 里 我 们 统一 将 密码 设 为 “mypass”。 


# keytool -import -alias "My CA" -file ca.pem -keystore truststore.jks 


校 验 Truststore 文 件 。 


# keytool -list -keystore truststore.jks 
# openssl x509 -in ca.pem -fingerprint -md5 


4) 创建 Keystore 文 件 。Keystore 包 含 ActiveMQ 的 证 书 和 密 钥 ， 用 来 向 连接 它 的 应 用 程序 标识 它 自身 。 


cat master.example.com private.pem master.example.com cert.pem > temp.pem 
openssl Pkcs12 -export -in temp.pem -out activemq.P12 -name master.example.com 
keytool -importkeystore -destkeystore keystore.jks -srckeystore activemq.P12 - 
srcstoretype PKCS12 -alias master.example.com 


厅 砷 砷 厅 


校 验 Keystore 文 件 。 


# keytool -list -keystore keystore.jks 
# openssl x509 -in puppet.example.com cert.pem -fingerprint -md5 


5) 将 生成 的 Truststore 文 件 与 Keystore 文 件 移动 到 /etc/activemq/ 目 录 。 


# mv keystore.jks trustore.jks /etc/activemg/ 


将 Truststore 文 件 与 Keystore 配 置 文 件 加 入 ActiveMQ 的 /etc/activemq/activemq.xml 配 置 文件 中 。 需 要 注意 将 以 下 配置 妃 加 在 Plugins 和 systemUsage 两 个 标签 中 间 。 


<sslContext> 
<sslContext 
keyStore="keystore.jks" keyStorePassword="secret" 
trustStore="truststore.jks" trustStorePassword="secret" 
/> 
</sslContext> 


6) 在 ActiveMQ (主机 mq.example.com，IP: 192.168.7.8) 中 配置 监听 端口 。MCollective 与 ActiveMQ 不 同 协议 的 连接 方式 通过 端口 来 区 分 ， 如 下 : 


“61613 端 口 用 于 非 加 密 的 Stomp。 
“61614 端 口 用 于 加 密 的 Stomp 和 TLS。 
“ 61616 端 口 用 于 非 加 密 的 OpenWire。 


"61617 端 口 用 于 TLS 和 OpenWire。 


编辑 ActiveMQ 配 置 文件 /etc/activemq/activemq.xml， 追 加 以 下 内 容 到 transportConnectors 中 。 开 启 加 密 的 Stomp 和 TLS 协 议 。 


<transportConnectors> 
<transportConnector name="stomp+ss1" uri="stomptssl://0.0.0.0:61614?needClient-Auth=true"/> 
</transportConnectors> 


启动 ActiveMQ 的 守护 进程 。 


# service activemq start 


通过 netstat-tnl 命 令 确认 61614 端 口 处 于 监听 状态 。 如 果 处 于 监听 状态 说 明 启 动 成 功 。 


# netstat -tnl | grep 61614 


7) 配置 Client 端 (主机 master.example.com，IP: 192.168.7.7) ， 让 Client 端 与 ActiveM Q 建 立 联系 ， 同 时 配置 Client 与 Puppet Master 共 用 相同 的 证 书 。 编 辑 Client 端 的 配置 文 
件 /etc/MCollective/client.cfg。 具 体 如 下 : 


# client.cfg 

connector = activemq 

securityprovider = ssl  # 加 密 连接 方式 
# Optional: 
Plugin.activemq.base64 = yes 
plugin.activemq.pool.size = 
plugin.activemq.pool.1.host 
plugin.activemq.pool.1.port 
plugin.activemq.pool.1.user 
plugin.activemq.pool.1.password = mypass # 连接 ActiveMO 的 密码 
plugin.activemq.pool.1.ssl = true 
1 
1 


mq.example .com 
61614 # 加 密 的 Stomp 和 TLS 
MCollective # 连接 ActiveMo 的 账号 


[me 


plugin.activemq.pool.1.ssl.ca = /etc/activemq/ssl/ca_crt.pem 
plugin.activemq.pool.1.ssl.key =/var/lib/puppet/ssl/private_ keys/master .example.com.pem 
plugin.activemq.pool.1.ssl.cert = /etc/activemg/ssl/master .example.com.pem 


8) 配置 Server 端 (主机 agent.exmaple.com，IP: 192.168.7.9) 。 让 Server 端 与 ActiveMQ 建 立 联系 ， 同 样 配 置 Server 与 Puppet Master 共 用 相同 的 证 书 。 编 辑 Client 端 的 配置 文 
件 /etc/MCollective/server.cfg。 具 体 命令 如 下 : 


# server.crg 

connector = activemq 
securityprovider = ssl 

# Optional: 
Plugin.activemq.base64 = yes 
plugin.activemq.pool.size = 
plugin.activemq.pool.1.host 
plugin.activemq.pool.1.port 
plugin.activemq.pool.1.user 
plugin.activemq.pool.1.password = mypass # 连接 ActiveMo 的 密码 
plugin.activemq.pool.1.ssl = true 
1 
1 
J 


mq.example .com 
61614 # 加 密 的 Stomp 和 TLS 
MCollective # 连接 ActiveMo 的 账号 


[ed 


plugin.activemq.pool.1.ssl.ca = /var/lib/puppet/ssl/ca/ca_crt .pem 
plugin.activemq.pool.1.ssl.key = /var/lib/puppet/ssl/private keys/master.example.com.pem 
plugin.activemq.pool.1.ssl.cert = /var/lib/puppet/ssl/certs/master.example.com.pem 


启动 Server 端 守护 进程 。 


# service MCollective start 


9) MCollective 与 ActiveM Q 配 置 完 毕 后 ， 再 次 通过 mco 命 令 的 ping 参 数 对 最 终 配 置 结果 进行 测试 。 具 体 方法 如 下 : 


# mco ping 
master .example.com 
agent .example.com 


time=85.78 ms 
time=126.42 ms 


= ing Statigtios =~ 
2 replies max: 126.42 min: 85.78 avg: 106.10 


到 目前 为 止 已 经 介绍 了 MCollective 的 两 种 配置 方式 ， 接 下 来 将 介绍 如 何 使 


15.4 如 何 使 用 MCollective 


MCollective。 


MCollective 以 Client-> 中 间 件 -> Server 的 方式 运行 ， 我 们 可 以 通过 MCollective 提 供 的 集成 mco 命 令 并 借助 中 间 件 向 所 有 的 Server 发 送 指令 。 本 节 将 介绍 MCollective 命 令 的 使 用 。 首 先 介绍 


MCollective 基 础 命令 ， 主 要 让 读者 对 命令 的 使 


后 介绍 如 何 通 过 MCollective 管 理 Puppet Agent。 


15.4.1 


1.MCollective 基 础 命令 


MCollective 基 础 命令 


与 参数 结构 有 个 基本 的 了 解 ， 然 后 介绍 MCollective 揪 件 应 用 ， 其 实 除 了 建立 Client 与 所 有 Server 的 桥梁 以 外 ，MCollective 更 强大 的 地 方 是 插件 的 使 用 ; 


Client 通 过 mco 命 令 与 所 有 的 Server 进 行 交 互 。 通 过 mco help 命 令 可 以 查 到 它 的 子 命令 ， 如 下 : 


facts 
filemgr 
find 

help 
inventory 
iptables 
nettest # 
nrpe # 
package # 
ping # 
plugin # 
puppet # 
rpc # 
service # 


网 络 节点 测试 工具 


自 nodes、 collectives 和 subcollectives 的 报告 工具 
# 系统 防火 墙 客户 端 


客户 端 到 Nagios 的 远程 插件 执行 系统 
包 管 理工 具 ,包括 安装 、 仓 载 和 升级 


Ping 所 有 节点 
MCollective 插件 管理 
理 Puppet Agent 程 序 
程序 交互 
和 


service 管 理 系统 服务 , 包 


笑 启动 、 关 闭 、 


在 启 和 查看 状态 等 


mco 命 令 的 子 命令 参数 通过 help 参 数 可 以 查看 到 其 使 


方法 。 


# mco help rpc 


Generic RPC agent client application 
Usage: mco rpc [options] [filters] --agent <agent> --action <action> [--argument <key=val> --argument http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/ 
Usage: mco rpc [options] [filters] <agent> <action> [<key=val> <key=val> http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text 


由 于 mco package 子 命令 输出 的 参数 较 多 ， 笔 者 对 以 上 内 容 作 了 截取 ， 


也 降低 了 我 们 学 习 的 成 本 。 


2 .远程 执行 RPC 请 求 


MCollective 远 程 命令 的 执行 通过 RPC 实 现 。RPC (Remote Procedure Call Protocol) 一 一 远程 过 程 调 
MCollective 上 通过 mco rpc 子 命令 方式 支持 此 RPC 协 议 ， 另 外 mco rpc 命 令 


Server 启 动 Apache， 命 令 及 输出 结果 如 下 : 


方式 将 通过 后 续 的 案例 详细 介绍 。 从 上 


我 们 可 以 看 到 mco 命 令 的 使 用 方式 与 Puppet 的 命令 使 用 方式 一 致 ， 这 


四 


协议 ， 它 通过 网 络 从 远程 计算 机 程序 上 请 求 服务 ， 而 不 需要 了 解 底层 网 络 技术 的 协议 。 在 
代理 进行 交互 。 以 下 为 使 用 案例 ， 在 Client 上 通过 RPC 命 令 向 所 有 的 Server 发 送 指令 ， 如 让 


能 够 与 很 多 标准 远程 过 程 调 


# mco rpc service start service=httpd 


Discovering hosts using the mc method for 2 second(s) http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 2 
/2 
web.example.com Request Aborted # 响应 主机 的 Hostname 


Summary of Service Status: 


running = 1 
unknown = 1 


Finished processing 2 / 2 hosts in 969.38 ms 


如 以 上 mco rpc 命 令 输出 所 示 ，mco rpc 命 令 已 经 启动 主机 web.example.com 的 Apache。mco 命 令 的 整个 执行 流程 如 下 。 


1) 在 网 络 发 现 并 找到 多 台 Server。 


2) Client 发 送 请 求 给 ActiveMQ，Server 获 得 请 求 指定 ， 并 显示 回复 的 进度 条 。 


3) Server 显 示 出 现 的 结果 ， 如 执行 成 功 或 失败 ， 如 为 失败 则 显示 失败 原因 。 


4) 在 Client 显 示 执行 的 统计 信息 。 


3. 远 程 安装 软件 


MCollective 还 支持 远程 服务 的 安装 、 更 新 与 卸载 。 如 在 所 有 的 Server 上 安装 tree 命 令 。 


# mco package install tree 
Do you really want to operate on packages unfiltered? (y/n): y 


人 


Summary of Ensure: 
1.5.3-2.el6= 2 


查看 所 有 MCollective Server 上 tree 命 令 的 安装 状态 。 


# mco package status tree 


四 


=======--=-===-==-=-=------------------------=--=-------=------> ] 2 /2 


master:example.com: tree-1.5.3-2.e16.x86 64 


# 相应 的 服务 器 Hostname 


web.example.com: tree-1.5.3-2.e16.x86 64 # 相应 的 服务 器 Hostname 
Summary of Arch: 
x86 64 = 2 
Summary of Ensure: 
1.5.3-2.el6= 2 


如 以 上 命令 输出 所 示 ， 我 们 已 经 在 masterexample.com 与 web.example.com 安 装 了 tree 命 令 。 关 于 mco package 还 有 很 多 的 子 参数 ， 可 以 通过 mco help package 查 找到 。 


4. 过 滤器 的 使 


MCollective 每 个 子 命令 都 提供 了 Filters (中 文 译 为 “过 滤器 ”， 下 称 “ 过 滤器 ”) 的 功能 ， 用 于 将 某 一 类 机 器 作为 一 个 整体 来 对 其 进行 操作 。 以 下 以 ping 子 命令 为 例 : 


# mco help ping 
Host Filters 
—W, --with FILTER Combined classes and facts filter 
-S, --select FILTER Compound filter combining facts and classes 
-F, -~-wf, --with-fact fact=val Match hosts with a certain fact 
-C, --wc, -~-with-class CLASS Match hosts with a certain config management class 
-A, --wa, --with-agent AGENT Match hosts with a certain agent 
-I, --wi, --with-identity IDENT Match hosts with a certain configured identity 


可 以 看 到 过 滤器 的 参数 可 以 匹配 fact、class、agent 和 “/” 等 。 以 下 为 过 滤器 的 常用 参数 案例 与 复合 语句 案例 。 


口 


匹配 facts 的 country 为 de, 并 在 这 些 机 器 上 安装 zsh 软 件 包 

# mco rpc package install zsh -F country=de 

# 匹配 kernel 版 本 为 2. 6 同时 cpu 个 数 大 于 或 等 了 2 个 的 机 器 ,并 主动 触发 Puppet Agent 运 行 一 次 

# mco puppet -v runonce rpc --np -F kernelmajversion="'2.6' -F physicalpro-cessorcount=>'2"' 
# Ping 所 有 服务 中 的 Server 


mco ping -A service 


# 


# mco Ping --with- agent service 

# ping 所 有 包含 apache 类 的 机 器 

# mco Ping -C apache 

# mco ping --with-class _ apache 

# ping 所 有 符合 正则 表达 式 的 机 器 

# mco ping -C /service/ 

# 指定 在 a.example.com 上 安装 vsfptd 软 件 

# mco package install vsftpd -I /a.example.com$/ 


5. 复 杂 查 询 案例 


1) 查找 facts 为 acme 在 staging 环 境 下 的 机 器 或 者 为 development 环 境 机 器 ， 同 时 匹配 apache 类 。 


# mco ping -S "((customer=acme and environment=staging) or environment=development) and /apache/" 


2) 查找 为 开发 环境 ， 但 facts 的 customer 不 包含 acme 的 机 器 。 


mco ping -SsS "environment=development and !customer=acme" 


15.4.2 ”MCollective 揪 件 应 用 


MCollective 是 一 个 框架 ， 大 部 分 的 功能 都 是 通过 插件 完成 的 ， 而 Puppet 官 方 提供 了 很 多 插件 供 我 们 选择 ， 可 以 在 官方 网 站 http://projects.puppetlabs.com/projects/MCollective-plugins/wiki 查 找 
到 关于 MCollective 的 一 些 常用 插件 ， 更 多 的 插件 可 以 通过 https://github.com/puppetlabs/MCollective-plugins.git 获 取 。 这 里 介绍 一 个 比较 实用 的 插件 案例 ， 使 读者 了 解 插件 是 如 何 获 取 使 用 的 。 笔 者 
在 Client 上 通过 “Shell 命 令 查询 所 有 Server” 状 态 的 插件 ， 此 插件 并 非 由 官方 提供 ， 可 以 在 https://github.comy/cegeka/MCollective-shell-agent 找 到 它 。 


首先 克隆 Shell 插 件 的 源 文 件 到 本 地 。 


# git clone https://github.com/cegeka/MCollective-shell-agent .git 


然后 将 克隆 后 的 Shell 插 件 复制 到 MCollectived 的 Server 和 Client 插 件 目录 。 


# cd MCollective-shell-agent 
# cp agent/shell.ddl shell.rb /usr/libexec/MCollective/MCollective/agent/ 
# cp application/shell.rb /usr/libexec/MCollective/MCollective/application/ 


如 果 不 确定 MCollective 揪 件 目录 的 位 置 ， 可 以 通过 grep"libdir"/etc/MCollective/client.cfg 进 行 查找 。 揪 件 包 含 了 两 个 Ruby 文 件 和 一 个 DLL 文 件 ，DLL 文 件 提 供 了 插件 接收 传 入 参数 的 具体 描述 信息 。 


在 Server 上 安装 插件 后 不 要 忘记 让 守护 进程 重新 加 载 配置 。 具 体 加 载 方法 如 下 : 


# /etc/rc.d/init.d/mcollective reload-agents 


最 后 在 Client 中 使 用 Shell 揪 件 查 看 Server 机 器 的 负载 情况 。 


# mco shell uptime 
Discovering hosts using the mc method for ， 2 second(s) http: / /www hzcourse. com/resource/readBook?path=/openresources/teach ebook/uncompressed/15031/0EBPS/Text/... 1 


Host: web.example.com 
Exitcode: 0 


Output: 
08:02:14 up 1:05, 1 user, load average: 0.05, 0.01, 0.00 


如 果 网 上 的 插件 无 法 满足 需求 ， 也 可 以 根据 自身 的 实际 情况 与 应 用 场景 来 独立 开发 插件 。 关 于 MCollective 插 件 开发 的 更 多 的 信息 请 参考 官方 网 
站 http://docs.puppetlabs.com/MCollective/simplerpc/agents.html。 


15.4.3 ”通过 MCollective 管 理 Puppet Agent 


Puppet 3.* 版 本 已 经 废弃 了 对 puppet kick (客户 端 主动 更 新 工具 ) 的 支持 ， 如 果 读 者 使 用 的 是 Puppet 3.* 版 本 可 以 借助 MCollective 的 Puppet Agent 插 件 来 弥补 这 一 缺失 。MCollective 的 Puppet 
Agent 插 件 安装 后 ， 可 以 管理 所 有 Puppet Agent。 首 先 通过 MCollective 主 动 触发 所 有 的 Puppet Agent 运 行 一 次 。 


# mco Puppet 工 runonce 
和 


================ 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 = 一 一 一 = 一 一 = 一 = 一 =====> ] 2 /2 
web .example .com Request Aborted 
Puppet is currently applying a catalog, cannot run now 
email .example.com Request Aborted 


Puppet is currently applying a catalog, cannot run now 
Finished processing 2 / 2 hosts in 218.45 ms 


如 以 上 输出 所 示 ，MCollective 通 过 Puppet Agent 插 件 主动 触发 所 有 的 Puppet Agent 执 行 一 次 ， 执 行 后 的 机 器 会 输出 到 终端 上 。 当 我 们 使 用 MCollective 运 行 所 有 的 Puppet Agent 时 ， 所 有 的 Puppet 
Agent 上 所 有 的 守护 进程 都 是 处 于 关闭 状态 的 ， 这 时 如 果 又 在 Puppet Agent 上 运行 客户 端 就 会 显示 notice:Run of Puppet configuration client already in progress;skipping 的 警告 信息 ， 而 这 样 同 时 运 
行 Agent 只 有 一 次 机 会 让 Agent 的 catalog 生 效 ， 机 会 落 到 哪个 Puppet Agent 上 这 取决 于 谁 先 触发 Puppet Agent 的 执行 。 所 以 我 们 通过 crontab 定 时 运行 Puppet Agent， 又 通过 MCollective 的 插件 再 次 运 
行 Puppet Agent 时 要 注意 它 的 时 间 差 问题 。 那 么 Puppet Agent 根 据 什 么 来 判断 本 身 守护 进程 是 否 在 执行 呢 ? Puppet Agent 运 行 时 会 在 /var/lib/puppet/state/puppetlock (我 们 可 以 通过 puppet 
agent--configprint puppetdlockfile 命 令 找 到 它 ) 下 生成 一 个 锁 文 件 ， 此 文件 用 于 标识 进程 运行 中 的 状态 ， 多 个 Puppet Agent 会 检查 此 文件 是 否 存在 ， 如 果 存 在 就 会 出 现 刚刚 报 的 notice:Run of Puppet 


configuration client already in progress;skipping 警 告 信息 。 


除 此 之 外 MCollective 的 Puppet Agent 揪 件 还 有 很 多 辅助 参数 ， 我 们 可 以 通过 mco help puppet 查 看 到 它们 。 


count 与 关闭 状态 的 节点 统计 信息 

enable - 

disable - 

resource - manage individual resources using the Puppet Type (RAL) system 

runall - invoke a puppet run on matching nodes, making sure to only run 
CONCURRENCY nodes at a time 

runonce - 运行 个 Puppet Agent 节 点 

status ”- 简要 地 显 显示 PupPet te 状态 报告 

summary -- 显示 资源 与 运行 的 总 


以 下 为 MCollective 的 Puppet Agent 插 件 ， 两 个 count 与 status 参 数 的 使 用 方式 。 


1) 查看 所 有 Puppet Agent 的 运行 状态 。 


# mco puppet count 
Total Puppet nodes: 2 
Nodes currently enabled: 2 
Nodes currently disabled: 0 
Nodes currently doing puppet runs: 0 
Nodes currently stopped: 2 
Nodes with daemons started: 0 
Nodes without daemons started: 2 
Daemons started but idling: 0 


2) 简要 地 显示 Puppet Agent 运 行 状态 报告 。 


# mco rpc puppet status 
* [ ========-==-—-=---- 一 -=== 一 = 一- 一- 一 -= 一- 一- 一 -一 ==- 一 -=== 一 -=== 一 > ] 2 /2 
web.exmaple.com: Currently stopped; last completed run 56 days 8 hours 57 minutes 13 seconds ago 
web.exmaple.com Currently stopped; last completed run 06 seconds ago 
Summary of Applying: 


false = 2 

Summary of Daemon Running: 
stopped = 2 

Summary of Enabled: 
enabled = 2 

Summary of Idling: 
false = 

Summary of Status: 
stopped = 2 


Finished Processing 2 / 2 hosts in 149.06 ms 


第 四 部 分 ”应 用 篇 
第 16 章 HAProxy 构 建 Puppet 集 群 实践 


第 17 章 ” Puppet 管理 SSO 实 践 


第 18 章 ” Puppet 快速 构建 企业 内 部 网 实践 


第 16 章 ”HAProxy 构 建 Puppet 和 集群 实践 


Puppet 的 性 能 与 版 本 升级 一 直 是 被 大 型 网 站 与 企业 内 部 网 管理 员 所 关注 的 两 个 方面 。 本 章 将 结合 之 前 章节 学 习 过 的 知识 整合 HAProxy 与 Puppet 来 解决 管理 员 日 常 关注 的 两 个 问题 。 通 过 本 章 的 学 习 也 
能 让 读者 开拓 思路 ， 加 深 对 整个 Puppet 的 管理 与 配置 过 程 的 了 解 。 本 章 首先 介绍 HAProxy 这 款 性 能 优越 的 负载 均衡 软件 ; 接着 介绍 HAProxy 的 初始 化 过 程 ; 然后 介绍 如 何在 我 们 之 前 搭建 过 的 Master 基 础 
上 扩展 Puppet 集 群 的 流程 ;最 后 介绍 Puppet 的 升级 流程 。 


16.1 HAProxy 简 介 


HAProxy 是 一 款 完全 免费 的 高 性 能 负载 均衡 软件 ， 与 费用 高 昂 的 硬件 负载 均衡 相 比 有 着 良好 的 性 能 与 成 本 的 优势 。HAProxy 的 工作 流程 如 图 16-1 所 示 。 网 络 流量 经 过 防火 墙 后 访问 HAProxy，HAProxy 
又 将 流量 平均 的 分 配 到 后 端的 Web Server 达 到 负载 均衡 的 目的 。HAproxy 支 持 TCP 和 HTTP 应 用 层 代理 ， 适 用 于 大 型 网 站 与 企业 


1.HAProxy 的 优势 


我 们 曾 在 第 11 章 介绍 过 一 些 常见 的 负载 均衡 技术 ， 这 里 单 从 非 商业 的 负载 均衡 技术 来 说， 对 比 HAProxy 与 Nginx 两 款 开源 软件 。HAProxy 有 如 下 的 优势 。 


“ HAProxy 规 避 了 Nginx 的 一 些 缺点 ， 如 Session 的 保持 与 Cookie 的 引导 等 工作 。 
“ 单纯 从 效率 上 来 讲 HAProxy 有 着 更 出 色 的 性 能 优势 ， 在 并 发 处 理 上 也 优 于 Nginx。 


* HAProxy 支 持 url 状 态 检测 。 


二 
一 上 Firewall 


Haproxy 


Database Web servers 


图 16-1 HAProxy 工 作 流 程 


2.HAProxy 均 衡 负载 算法 
目前 HAProxy 支 持 以 下 8 种 负载 均衡 的 算法 。 
1) roundrobin: 轮 询 ; 
2) static-rr: 根据 权重 ; 
3) leastconn: 最 少 连 接 者 先 处 理 ; 


4 


Dear 


source: 表示 根据 请 求 源 IP， 这 个 与 Nginx 的 IP_hash 机 制 类 似 ， 我 们 可 以 将 其 作为 解决 Session 问 题 的 一 种 方法 ; 


5) ri: 表示 根据 请 求 的 URI; 


et 


6 


wl 


rl|_param: 表示 根据 请 求 的 URI 参 数 ; 


7 


De 


hdr(name): 表示 根据 HTTP 请 求 头 来 锁定 每 一 次 HTTP 请 求 ; 

8) rdp-cookie(name): 表示 根据 cookie (name) 来 锁定 ， 并 哈 希 每 一 次 TCP 请 求 。 
3.HAProxy 支 持 的 平台 

目前 HAProxy 支 持 的 系统 与 平台 如 下 。 

1) Linux 2.4x86_32 位 或 x86_ 64 位 、Alpha、SPARC、MIPS 和 PARISC 

2) Linux 2.6x86_32 位 或 x86_64 位 、ARM (ixp425)、PPC64 

3) Solaris 8/9 的 UltraSPARC 2and 3 

4) Solaris 10 的 Opteron and UltraSPARC 

5) FreeBSD 4.10-8 的 x86 平 台 


6) OpenBSD 3.1to-currenton ij386、amd64、macppc、alpha 和 sparc64 


16.2 ”HAProxy 初 始 化 


对 HAProxy 有 了 初步 了 解 后 ， 我 们 来 搭建 它 的 环境 ， 整 个 安装 环境 我 们 使 


方式 1 直接 通过 系统 yum 源 来 安装 。 如 下 : 


了 CentOS6.5_ x86_64 位 系统 。 在 web.example.com 上 搭建 HAProxy 有 两 种 方式 (推荐 方式 2) 。 


# Yum install haproxy 


方式 2 通过 Puppet 来 部 署 HAProxy， 这 一 方式 要 比方 式 1 更 麻烦 ， 但 优势 是 后 续 在 其 他 系统 再 次 安装 时 会 更 加 省 时 省 力 。 首 先 创建 HAProxy 的 目录 结构 。 


# mkdir -p /etc/puppet/modules/haproxy/ {manifests, templates} 
# tree /modules/nginx/manifests/ 
| 1-- init.pp 
| templates 
|-- haproxy.cfg.erb 


接着 编辑 init.pp 文 件 ， 追 加 以 下 内 容 到 文件 中 。 


class haproxy { 

# 安装 HAProxy 软 件 包 
Package { "haproxy": 
ensure => installed, 


} 

# 从 Master 同 步 配置 文件 到 HAProxy 服 务 器 
file { "/etc/haproxy/haproxy.cfg": # 配置 文件 目标 

source => "puppet:///modules/haproxy/haproxy.cfg"，# 同步 配置 源 
require => Package["haproxy"], 
notify => Service["haproxy"], 


} 
# 启动 HAProxy 守 护 进 程 
service { "haproxy" : 
ensure => running, 
enable => true, 
require => Package["haproxy"], 
} 
} 


# 同步 配置 前 需要 确认 标题 ee 源 已 经 成 功 执行 
# 成 功 同步 配置 文件 后 ,通知 启动 HAProxy 守 护 进程 


haproxy.cfg.erb 为 HAProxy 的 主 配置 文件 。 我 们 在 Master 上 编辑 HAProxy 的 /modules/nginx/manifests/templates/haproxy.cfg.erb 主 配置 文件 ， 内 容 如 下 : 


# 全 局 配置 
global 

daemon 
user haproxy 
group haproxy 


# 以 后 台 方式 运行 daemon 
# 后 台 运 行 的 账户 
# 后 台 运 行 的 组 


maxconn 4000 # 默认 最 大 的 连接 数 
pidfile /var/run/haproxy.pid # HAProxy 的 pid 存 放 路 径 
# 默认 配置 
defaults 
mode http  ”# 使 用 的 默认 协议 , HAProxy 默 认 支 持 3 种 模式 (http1ltcplhealth) ,其 中 http 为 应 
# 用 层 协议 ,tcp 为 四 层 协议 
log global 
maxconn 8000 # 最 大 连接 数 
option redispatch # 失败 后 是 否 允 许 重 新 分 配 在 Session 
retries 3 # 失败 重 试 3 次 


stats enable # 开启 管理 界面 功能 

timeout http-request 10s # 默认 HTTP 的 超时 时 间 
timeout queue lm # 默认 队列 超时 时 间 (1 分 钟 ) 
timeout connect 10s # 默认 连接 超时 时 间 (10 秒 》 
timeout client lm # 客户 端 超时 时 间 (1 分 钟 ) 
timeout server lm # 服务 器 端 超时 时 间 (1 分 钟 》 
timeout check 10s # 心跳 检测 超时 (10 秒 ) 


# 管理 界面 配置 

listen stats :80 
mode http 
stats uri / 
stats auth user:password 


# 负载 均衡 配置 


# 管理 界面 监听 端口 
# 管理 界面 展示 方式 

# 管理 界面 根 目录 
# 登录 管理 界面 的 账户 与 密码 


listen puppet 0.0.0.0:8140 # puppet 用 于 负载 均衡 的 分 类 名 ,会 在 Web 的 管理 界面 显示 其 分 类 标识 


mode tcp # 轮 询 协议 

balance roundrobin # 调度 算法 

option tcplog # 开启 tcp 连 接 跟踪 状态 

option ssl-hello-chk  # 使 用 sslv3 对 服务 器 做 健康 状况 检查 
server puppet 192.168.110.128:8140 check maxconn 100 
server puppet 192.168.110.129:8140 check maxconn 100 


# real server 
# real server 


在 web.example.com 上 执行 以 下 命令 。 


# puppet agent --server puppet.example.com --test 

info: Caching catalog for web.example.com 

info: Applying configuration version '1401607459" 

notice: /Stage [main] /Haproxy/Package [haproxy] /ensure: created 


notice: /Stage [main] /Haproxy/File[/etc/haproxy/haproxy.cfg]/content: 


Service[haproxy] 


notice: /Stage [main] /Haproxy/Service [haproxy]/ensure: ensure changed 'stopped' to 'running' 
notice: /Stage [main] /Haproxy/Service [haproxy] : Triggered 'refresh' from 1 events 


notice: Finished catalog run in 30.18 seconds 


最 后 我 们 通过 查看 管理 界面 的 方式 确认 HAProxy 已 经 正常 工作 。 在 IE 中 输入 web.example.com 或 者 对 应 的 IP 后 ， 结 果 如 图 16-2 所 示 。 


[ 


行 身 份 验证 


htt 


上 
这 服务 台 提 于 


提示 : 


用 户 名 : 
密 得 ; 


根据 haproxy.cfg.erb 文 件 中 的 配置 ， 默 认 的 


户 名 为 user， 密 码 为 password。 我 们 可 以 通过 修改 haproxy.cfg.erb 配 置 文件 更 改 默认 密码 。 登 录 后 如 图 


2 188. 110. 130 
: HAPY oxw Sta 


80 要求 用 户 输 入 用 中 名 和 


tisticseo 


password 


16-2 HAProxy 管 理 界面 认证 


16-3 所 示 。 


HAProxy version 1.4.24, released 2013/06/17 
Statistics Report for pid 46084 


> General process information 


pid = 46084 (process #1, nbproc = 1) 

uptime = 0d 0h05m54S 

system limits: memmar = unlimited ulimit-n = 8014 
maxsock ~ 8014. maxconn -= 4000 maxpipes ~ 0 
current conns = 1; current pipes = 0 

Running tasks: 1/3 


External resources: 
Primar site 
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16.3 ”HAProxy 构 建 Puppet 


本 节 将 在 搭建 好 的 Master 的 基础 上 来 介绍 如 何 通 过 HAProxy 扩 


系统 获取 配置 信息 ， 但 是 由 于 建立 企业 之 初 没有 考虑 到 后 续 的 快速 发 展 和 Puppet 早 期 版 本 的 缺陷 ， 所 以 目前 企业 只 有 一 台 重 
员工 队伍 也 不 断 壮大 ， 预 计 到 年 底 员工 数 在 1000 的 基础 上 还 会 再 增加 3000 人 ， 每 人 一 台 PC， 到 年 底 需要 再 增加 3000 台 。 另 外 以 后 每 年 


模 扩大 ， 


0 


图 16-3 HAProxy 管 理 界面 


展 Puppet 集 群 与 对 Puppet 版 本 的 升级 。 首 先 来 介绍 HAProxy 构 建 Puppet 的 应 用 场景 ， i 
a 独 的 服务 器 ， 使 用 


员工 数 都 会 以 20% 的 速度 递增 ， i 


统 的 处 理性 能 和 版 本 缺陷 导致 的 后 果 已 经 显现 ，Agent 在 获取 配置 信息 时 Master 不 断 超 时 ， 导 致 获取 信息 失败 ， 员 工 无 法 正常 工作 。 系 统管 理 员 不 得 不 考虑 为 配置 管理 系统 加 一 层 负载 均衡 设备 ， 在 解决 性 


能 问题 的 同时 为 后 续 的 平滑 扩容 与 版 本 升级 打下 基础 。 最 后 管理 员 综合 了 很 多 原 


， 如 性 能 、 成 本 和 可 扩展 性 等 进行 考虑 ， 最 终 选择 了 HAProxy 这 款 免费 的 开源 软件 技术 解决 方案 ， 来 解决 


日 常 中 遇 到 的 问 


题 。 


16.3.1 利用 HAProxy 扩 展 Puppet 集 群 


笔者 在 搭建 好 的 一 台 Master 基 础 上 再 扩展 3 台 Puppet Master， 并 结合 HAProxy 组 建 Puppet 集 群 ，Puppet 集 群 如 图 16-4 所 示 。 


J 


Master 1 


Master 2 Master 4 


图 16-4 HAProxy 集 群 架构 图 


通过 图 16-4 可 了 解 架 构 中 的 IP 与 机 器 的 现状 ， 机 器 的 部 署 情况 与 1P 如 表 16-1 所 示 。 


表 16-1 HAProxy 环 境 部 署 表 


节 点 名 | .| 备注 
Masterl 使 用 中 的 Master 
HAProxy 已 经 部 署 


我 们 准备 开始 扩容 ， 将 已 经 在 线 上 使 用 Master (IP:192.168.7.78) 的 证 书目 录 进 行 打包 ， 并 复制 到 要 扩容 的 服务 器 上 ， 扩 容 流 程 如 下 : 
1) 参考 第 3 章 初始 化 扩容 机 器 的 Puppet 环 境 。 


2) 在 已 经 运行 的 Puppet (192.168.7.78) 上 打包 证 书目 录 ， 默 认 位 置 在 /var/lib/puppet/ssl。 


# tar -cvzf ssl.tar.gz /var/lib/puppet/ssl 


3) 将 ssl.tar.gz 证 书 分 别 复制 到 192.168.7.86、192.168.7.87 和 192.168.7.88 服 务 器 的 /var/lib/puppet 目 录 下 。 以 192.168.7.86 为 例 ， 执 行 过 程 如 下 : 


# scp ssl.tar.gz 192.168.7.86:var/lib/puppet 


4) 在 192.168.7.86、192.168.7.87 和 192.168.7.88 服 务 器 上 解压 ssl.tar.gz 文 件 ， 并 重启 守护 进程 。 


# tar -xvzf ssl.tar.gz 
# service puppetmaster restart 


5) 编辑 1P:192.168.7.2 的 /modules/nginx/manifests/templates/haproxy.cfg.erb 配 置 ， 将 Master 的 IP 加 入 HAProxy 的 负载 均衡 配置 中 ， 并 引入 线 上 流量 对 HAProxy 进 行 测试 。 


listen puppet 0.0.0.0:8140 

balance roundrobin 

option tcplog 

option ssl-hello-chk 
server puppet 192.168.7.78:8140 check maxconn 100 # Masterl 
server puppet 192.168.7.86:8140 check maxconn 100 # Master2 
server puppet 192.168.7.87:8140 check maxconn 100 # Master3 
server puppet 192.168.7.88:8140 check maxconn 100 # Master4 


6) 观察 Master 上 报 的 报告 ,确认 Puppet 工 作 正 常 ， 整 个 扩容 流程 结束 。 


16.3.2 Puppet 的 升级 


在 对 Puppet 升 级 之 前 ， 笔 者 建议 先 阅读 第 2 章 的 Puppet 升 级 注意 事项 。 本 节 将 介绍 Puppet 实 际 升级 的 流程 。 


我 们 在 HAProxy 集 群 搭建 完成 的 基础 上 升级 Puppet 3 的 版 本 ， 如 图 16-5 所 示 。 从 架构 图 中 我 们 了 解 到 ，Master 1、Master 2、Master 3 和 Master 4 是 已 经 挂 在 负载 均衡 (HAProxy) 上 提供 服务 的 4 
台 Master 服 务 器 。 目 前 4 台 服 务 器 的 操作 系统 使 用 CentOS 6.5 和 Puppet 2.6.18 版 本 ， 由 于 业务 的 原因 需要 扩容 台 服 务 器 (Master 5) ， 并 将 扩容 后 的 服务 器 升级 到 Puppet 3 版 本 ， 后 续 扩 容 后 的 服务 器 
(Master 5) 运行 稳定 后 ， 再 更 新 旧 服 务 器 (Master 1、Master 2、Master 3 和 Master 4) 的 Puppet 版 本 。 


扩容 与 升级 的 流程 如 下 : 


1) 将 Master 1 上 的 Puppet 配 置 目录 (/etc/puppet/) 与 证 书目 录 (/var/lib/puppet/ssl/) 提交 到 SVN。 


Master 1 Master 2 > ee 4 


sy 
vv 
~ 一 


HAProxy 


图 16-5 Puppet 架 构 


2) 将 源 Master 1 的 Puppet 的 环境 复制 到 Master 5 上 ， 再 将 SVN 上 的 Puppet 配 置信 息 check out 到 Master 5。 


3) 在 Master 5 上 通过 yum update puppet 来 升级 Puppet 3， 如 图 16-6 所 示 。 升 级 后 启动 Master 的 守护 进程 (service puppetmaster start) 。 


Installing for dependencies: 
hiera 
ruby-rgen 
rubygem-]son 
Updating for dependencies: 
facter 
Puppet-server 


Transaction Summary 


图 16-6 Puppet 升级 


4) 将 一 台 Agent 的 HOST 指 向 升级 后 的 Master 5， 并 观察 Master 5 的 Puppet 日 志 运 行 状 况 。 


puppetlabs-products 


puppetlabs-products 
puppetlabs-deps 
puppetlabs-deps 


puppetlabs-products 
puppetlabs-products 


5) 待 观察 Puppet 日 志 没有 问题 后 ， 将 Master 5 的 IP 加 入 HAProxy 中 ， 负 载 均衡 的 权重 调整 为 50， 持 续 观察 Agent 上 报 的 日 志 是 否 正常 。 


listen puppet 0.0.0.0:8140 
balance roundrobin 
option tcplog 
option ssl-hello-chk 
server puppet 192.168.7.86:8140 check maxconn 50 # Master5 权重 为 50 


Master 5 


6) 待 Master 5 成 功 升级 后 ， 再 用 同样 的 方式 逐步 灰 度 升级 Master 1、Master 2、Master 3 和 Master 4。 


第 17 章 ”Puppet 管 理 SSO 实 践 


多 年 前 笔者 曾 负责 某 网 站 的 SSO 系 统 的 开发 与 运 维 工作 ， 在 互联 网 快速 发 展 的 年 代 经 历 了 通过 脚本 运 维 管理 网 站 迫使 运 维 人 员 重 复 劳动 与 工作 效率 低 的 烦恼 。 如 SSO 系 统 模块 又 多 又 庞大 ， 每 个 人 负责 
系统 的 一 部 分 ， 有 着 自己 相对 独立 的 一 套 脚 本 来 运 维 管理 系统 模块 ， 模 块 之 间 的 脚本 功能 不 能 被 继承 与 复 用 ， 模 块 文 档 跟 不 上 加 上 人 员 的 流动 ， 导 致 部 分 系统 模块 缺乏 运 维 文档 ， 事 故 频 发 ， 再 如 系统 频繁 
的 推送 配置 ， 在 没有 灰 度 配置 文件 的 情况 下 变更 线 上 系统 导致 系统 服务 异常 或 不 可 用 等 。 这 些 都 是 我 们 通过 脚本 运 维 经 常 遇 见 的 问题 与 烦恼 ， 而 这 些 问题 都 可 以 通过 Puppet 配 置 管理 系统 来 很 好 地 解决 。 所 
以 本 章 笔 者 将 自身 运 维 SSO 系 统 经 历 与 Puppet 配 置 管理 系统 相 结合 ， 让 读者 能 够 在 模拟 真实 的 系统 架构 下 学 习 Puppet 的 配置 管理 系统 过 程 。 


17.1 SSO 介 绍 


17.11 休 么 是 SSO 


随 着 互联 网 信息 时 代 的 发 展 ， 各 种 应 用 技术 层出不穷 ， 每 天 用 户 需要 穿梭 在 不 同 的 系统 之 间 ， 如 邮件 系统 、 社 交 系 统 、 论 坛 和 办 公 系 统 等 。 每 个 系统 都 要 遵循 一 定 的 安全 策略 ， 如 要 求 用 户 按照 指定 的 
规则 输入 用 户 的 ID 和 口令 等 。 随 着 登录 系统 的 增多 ， 出 错 的 可 能 性 就 会 增加 ， 受 到 非法 截获 和 破坏 的 可 能 性 也 会 增 大 ， 安 全 性 就 会 相应 降低 ， 而 如 果 用 户 忘记 了 口令 不 能 执行 任务 ， 就 需要 请 求 网 站 管理 员 
的 协助 ， 这 些 既 造成 了 系统 和 管理 资源 的 开销 与 浪费 同时 也 降低 了 生产 效率 。 针 对 这 些 问题 ， 通 常 一 些 网 站 或 企业 会 采用 SSO (Single sign-on， 单 点 登录 系统 ) 来 解决 。 简 单 来 说 SSO 就 是 在 一 个 多 系统 
共存 的 环境 下 ， 用 户 在 一 处 登录 后 ， 就 不 用 在 其 他 系统 再 次 登录 的 技术 解决 方案 。SSO 优 势 在 于 既 可 以 提升 用 户 体验 ， 又 可 以 降低 安全 风险 ， 因 此 在 很 多 网 站 与 企业 中 被 广泛 使 用 。 


17.1.2 ”SSO 系 统 工作 流程 图 


目前 很 多 网 站 与 企业 都 使 用 了 SSO 系 统 ，SSO 系 统 工作 流程 如 图 17-1 所 示 。 


邮箱 系统 


3: 输入 账户 和 密码 进行 SSO 验证 


4: 验证 成 功 后 ， 得 到 ticket 访问 邮箱 


图 17-1 ”SSO 工作 流程 


下 面 笔 者 以 用 户 访问 邮箱 系统 为 例 ， 具 体 分 析 SSO 的 整个 工作 流程 。 


1) 用 户 首先 访问 邮箱 系统 ， 选 择 登录 邮箱 系统 。 


2) 邮箱 系统 通过 HTTP 协 议 将 用 户 重 定向 到 SSO 系 统 的 登录 页 面 。 


3) 用 户 在 SSO 系 统 的 登录 页 面 提交 账号 和 密码 ， 并 交 由 SSO 系 统 后 端 处 理 。 


4) SSO 系 统 根据 用 户 提交 的 账号 与 密码 信息 进行 验证 ， 验 证 成 功 后 生成 用 户 的 ticket (ticket “票据 ”并 不 是 用 户 的 密码 ， 它 只 是 一 串 根据 用 户 信息 生成 的 随机 密 钥 ， 存 放 在 SSO 系 统 中 ， 提 供 后 续 的 


验证 使 用 ) 。 


5) 用 户 带 着 从 SSO 系 统 返回 的 ticket 去 访问 邮箱 系统 ， 并 将 ticket 交 给 邮箱 系统 。 


6) 邮箱 系统 接收 到 用 户 的 ticket 后 ， 再 将 ticket 转 发 给 SSO 系 统 验证 用 户 的 ticket 信 息 是 否 正 确 。 


7) 如 果 验 证 ticket 成 功 ，SSO 系 统 会 向 邮箱 系统 返回 与 用 户 相关 的 信息 。 至 此 用 户 登录 成 功 ， 整 个 流程 结束 。 


从 SSO 系 统 工作 流程 图 中 可 以 看 到 ， 邮 箱 系 统 并 没有 存放 用 户 的 相关 信息 ， 特 别 是 比较 敏感 的 账户 与 密码 信息 ， 邮 箱 系统 只 通过 用 户 携带 的 ticket 从 SSO 系 统 获取 用 户 信息 。 当 用 户 从 其 他 系统 登录 ， 如 
社交 系统 、 论 坛 系统 和 办 公 系 统 等 ， 都 可 以 通过 用 户 携带 的 ticket 从 SSO 系 统 认证 后 获取 用 户 的 信息 ， 自 动 为 用 户 在 本 系统 登录 ， 从 而 达到 了 一 次 登录 ， 漫 游 全 网 的 功能 。 


17.1.3 ”SSO 系 统 架构 


了 解 了 什么 是 SSO 系 统 和 其 工作 原理 后 ， 我 们 再 来 看 某 大 型 网 站 的 SSO 系 统 架构 。 某 大 型 网 站 有 很 多 的 子 站 点 ， 如 新 闻 、 娱 乐 、 财 经 、 科 技 、 体 育 和 房产 等 。 网 站 希望 通过 SSO 系 统 对 用 户 进 行 统一 的 
登录 ， 提 高 用 户 的 安全 性 ， 同 时 降低 产品 的 维护 成 本 。 网 站 预 设 每 天 有 6 亿 的 PV 访 问 量 (Page View， 页 面 访问 量 ) ，8000 万 的 同时 在 线 用 户 。 为 了 提升 用 户 的 产品 体验 ，SSO 系 统 作 了 异地 部 署 ， 分 别 在 
北京 网 通 机 房 和 上 海 电信 机 房 部 署 服务 ， 使 用 户 在 可 就 近 接 入 的 同时 实现 了 服务 的 灾 备 与 高 可 用 。 这 样 一 套 复杂 的 SSO 系 统 架构 是 什么 样 的 呢 ? 如 图 17-2 所 示 (实际 的 系统 架构 要 比 这 复杂 很 多 ， 但 为 降低 
学 习 的 成 本 ， 笔 者 做 了 简化 处 理 ， 只 标识 了 一 些 重要 的 模块 和 网 络 访问 关系 ) 。 


归 时 


Mysql Master “Mysql Slave | Mysql Slave 
(存储 层 ) (存储 层 ) ! | (存储 层 ) 
L 3 3 
读 取 数据 
ES 


Memcache Memcache 


(cache 层 ) 


(cache 层 ) 


写 人 数据 | 


时 


Nginx ( 接 人 层 ) ”Nginx ( 接 入 层 ) 


图 17-2 SSO 系统 架构 图 


从 图 17-2 中 可 以 看 到 ，SSO 系 统 主要 分 为 接 入 层 、Cache 层 和 存储 层 这 3 层 ， 它 们 的 作用 分 别 如 下 。 


“ 接 入 层 : 通过 Web 服 务 器 接收 用 户 的 请 求 ， 并 根据 请 求 的 逻辑 进行 判断 。 如 果 用 户 是 要 注册 账户 ， 远 辑 直 接 将 用 户 的 信息 写 入 MySQL 主 库 。 如 果 用 户 是 通过 其 账号 和 密码 进行 验证 身份 ， 则 优先 验证 
Cache 层 的 用 户 人 信息， 如果 Cache 层 没有 相应 信息 再 访问 后 端的 MySQL 数 据 库 ， 从 MySQL 数 据 库 验证 并 获取 信息 后 ， 将 信息 返回 给 用 户 ， 再 将 信息 写 入 Cache 层 。 


“ Cache 层 : 用 来 将 账户 相关 信息 缓存 在 内 存 中 。 缓 存在 内 存 中 的 优势 是 提升 用 户 获取 信息 的 速度 ， 降 低 对 后 端 数据 库 的 压力 ， 将 各 层 各 环节 功能 发 挥 到 极致 ， 特 别 是 在 服务 异地 部 署 的 情况 下 ，Cache 
层 的 优势 比较 明显 。 


“ 存储 层 : 存储 层 存 放 了 与 账户 相关 的 信息 。 通 常 在 大 型 的 系统 中 ， 我 们 会 对 MYSQL 进行 读 写 分 离 ， 读 写 分 离 的 优势 是 可 以 提高 MYSQL 的 性 能 与 可 扩展 性 。 


17.2 ”通过 Puppet 管 理 与 运营 SSO 系 统 


目前 我 们 已 经 对 什么 是 SSO 系 统 、SSO 系 统 的 工作 流程 和 架构 有 了 基本 的 了 解 。 本 节 将 主要 介绍 通过 Puppet 管 理 与 运营 SSO 系 统 。 


首先 我 们 来 看 一 下 加 入 Puppet 后 的 系统 架构 ， 如 


17-3 所 示 。 


[ 


MYysql Slave 
(a 
入 


Mysql Master 
(存储 层 ) 


eR | 


a 


入 
Puppet Master 


Memcache 、 ， Memcache 
! cache 层 ) | SY | (cache 层 ) | 


Puppet Slave 
(控制 层 ) 


腿 肯 


Nginx ( 接 入 层 ) Nginx ( 接 入 层 ) 


| 


图 17-3 ”Puppet 运营 与 管理 SSO 系 统 


加 入 了 Puppet 后 ， 新 的 架构 图 由 之 前 的 3 层 结 构 演变 成 了 4 层 结构 ， 多 了 控制 层 Puppet。 由 于 跨 IDC 访 问 的 原因 ， 笔 者 建议 这 里 使 用 双 Puppet 的 部 署 解决 方案 ， 在 北京 与 上 海 机 房 分 别 部 署 Puppet 
Master， 让 各 1DC 的 服务 器 就 近 接 入 Puppet Master， 提 升 各 IDC 管 理 配置 的 效率 。 


接着 根据 架构 图 的 演变 ， 我 们 再 来 看 一 下 架构 图 中 各 层 的 Hostname、IP 和 操作 系统 发 行 版 本 的 情况 与 建议 ， 本 节 的 环境 配置 如 表 17-1 所 示 。 


“ Hostname: 因为 Puppet 在 配置 管理 过 程 中 主要 识别 主机 的 Hostname， 所 以 建议 读者 在 设置 Hostname 时 要 有 规划 与 规则 ，Hostname 要 见 名 思 义 。 本 节 的 Hostname 命 名 规范 为 IDC- 架 构 层 -产品 名 -组 ， 
以 “-” 进 行 分 隔 ，4 键 为 一 组 来 标识 一 台 主 机 ， 后 接 .example.com， 这 主要 为 后 续 与 ENC 结 合 考虑 。 


“IP: 如 果 我 们 是 新 建 的 SO 系统， 建议 每 层 都 要 统一 网 段 ， 最 好 是 连续 的 IP， 后 续 Puppet 代 码 远 辑 中 会 减少 很 多 的 还 辑 判 断 ， 降 低 维护 成 本 。 如 果 读者 已 经 将 Puppet 引 入 了 线 上 环境 ， 那 前 期 免不了 需 
要 对 各 层 的 IP 多 做 一 些 逻 辑 判 断 ， 后 期 需要 考虑 尽量 将 每 层 规划 到 一 个 IP 网 段 进 行 管理 。 


“ 操作 系统 发 行 版 本 : 虽然 管理 不 同 发 行 版 本 的 操作 系统 是 Puppet 的 强项 ， 但 是 我 们 也 需要 考虑 SSO 的 程序 兼容 性 ， 所 以 建议 使 用 统一 操作 系统 发 行 版 本 。 本 节 是 基于 CentOS-6.5_x86.64 位 系统 进行 介绍 


表 17-1 SSO 架 构图 配置 列表 


操作 系统 发 行 版 本 


和 
10.55.38.40/32 CentOS-6.5 x86.64 
存储 层 (DB) 10.55.38.41/32 CentOS-6.5_x86.64 
10.49.38.40/32 CentOS-6.5 x86.64 


级 在 屋 (Cache) bj-cache-memcache-1.example.com 10.55.38.70/32 CentOS-6.5 x86.64 
族人 和 仔 压 (Cache 
sh-cache-memcache-1.example.com 10.49.38.70/32 CentOS-6.5 x86.64 
bj-access-web-nginxl1.example.com 10.55.38.100/32 CentOS-6.5 x86.64 
, bj-access-web-nginx2.example.com 10.55.38.101/32 CentOS-6.5 x86.64 
接 入 层 (Web) - 
sh-access-web-nginxl.example.com 10.49.38.100/32 CentOS-6.5 x86.64 
sh-access-web-nginx2.example.com 10.49.38.101/32 CentOS-6.5 x86.64 
本 bj-puppet-master-1.example.com 10.55.38.50/32 CentOS-6.5_ x86.64 
控制 屋 (Puppet) 
sh-puppet-master-1.example.com 10.49.38.50/32 CentOS-6.5 x86.64 


版 本 控制 bj-svn-master-1.example.com 10.55.48.49/32 CentOS-6.5 x86.64 


17.2.1 ” ”Puppet 系统 初始 化 


首先 初始 化 SSO 系 统 的 软件 环境 ， 分 别 为 Ruby 和 Puppet。 以 北京 网 通 机 房 的 Master (Hostname:bj-puppet-master-1.example.com， 对 应 IP 为 10.55.38.50) 为 例 ， 配 置 流 程 共 分 4 步 ( 除 Puppet 
Master 以 外 ，Agent 系 统 初始 化 只 需要 关注 前 3 步 ) 。 


1) 安装 默认 的 yum 和 Puppet 的 软件 源 。 


# 推荐 安装 国内 的 yum 软 件 源 

wget http://mirrors.163.com/ .help/CentOS6-Base-163.repo -P /etc/yum.report.d/ 
# 安装 Puppet 官 方 yum 源 

rpm -ivh https://yum.puppetlabs.com/puppetlabs-release-el-6.noarch.rpm 

# 导入 GPG 密 钥 

rpm -import http://yum.puppetlabs.com/RPM-GPG-KEY-puppetlabs 


2) 安装 Ruby 环 境 。 


# yum install ruby ruby-libs rubygems 


Ruby 环 境 安装 完成 后 ， 推 荐 将 gem 更 换 为 国内 gem 源 。 


#ruby.taobao.org 

gem sources --remove https://rubygems.org 
gem sources -a http://ruby.taobao.org 
gem sources -1 


3) 安装 Puppet 与 Facter。 


由 于 不 同 版 本 间 在 使 用 时 有 些许 差异 ， 为 避免 版 本 差异 带 来 异常 问题 ， 所 以 SSO 系 统 以 Puppet 2.7.25 稳 定 版 本 来 做 演示 。 在 安装 Puppet 时 指定 Puppet-2.7.25 的 版 本 。 


# yum install puppet-2.7.25 Puppet-server-2.5.25 facter 


4) 初始 化 Master/Agent 的 配置 。 


Master 配 置 如 下 。 


Puppet 环 境 安装 后 ， 如 果 有 特殊 配置 可 以 参考 本 书 第 4.2 章 中 的 Puppet 主 要 文件 配置 一 节 ， 如 果 无 特殊 配置 可 以 直接 启动 Master 的 守护 进程 。 


# service puppetmaster start 


守护 进程 启动 过 程 中 需要 注意 以 下 常见 的 3 种 错误 : 
* Master/Agent 时 间 不 一 致 导致 SSL 认 证 失败 。 


* Agent 访 问 Master 过 程 中 如 果 报 err:Could not request certificate:No route to host-connect(2) 错 误 ， 请 确认 8140 端 口 是 否 已 经 开启 。 开 启 命 令 如 下 : 


# iptables -t filter -A INPUT -p tcp -m state -state NEW --dport 8140 -j ACCEPT 


“ 更 改 Master 的 Hostname 为 bj-puppet-master-1.example.com， 否 则 有 可 能 会 报 err:Could not retrieve catalog from remote server:Server hostname'bj-puppet-master-1.example.com'did not match server certificate;expected 


one of bogon.localdomain，DNS:bogon.localdomain，DNS:puppet，DNS:puppet.localdomain 错 误 。 设 置 命 令 如 下 : 


# hosntmae bj-puppet-master-1 .example.com 


Agent 配 置 如 下 。 


在 连接 前 首先 设置 /etc/host 和 /etc/host.conf 两 个 配置 文件 (或 者 参考 第 3 章 通 过 配置 Dnsmasq 来 设置 Master 的 域名 访问 方式 ) 。host 配 置 文件 的 作用 是 用 来 增加 对 应 域名 与 |P 的 关系 ; host.conf 配 
文件 用 来 设置 host 与 bind 的 解析 顺序 。 


# 配置 host ， 格 式 IP | FQDN | HOSTNMRE 

echo "10.55.38.50 bj-puppet-master-1.example.com bj-web-nginx-1.example.com " >> 
# 配置 host.conf 

echo " order hosts,bind " >> /etc/host.conf 


/etc/hosts 


设置 Agent 的 Hostname。 


# hosntmae bj-access-web-nginxl .example.com 


访问 Master， 测 试 配置 是 否 成 功 。 


puppet agent --server puppet .example.com --test 


17.2.2 Puppet 配 置 管理 环境 的 初始 化 


目前 我 们 已 经 搭建 好 了 整个 puppet 的 Master/Agent 环 境 ， 下 面 就 是 通过 Puppet 来 管理 配置 整个 "SO 系统 。Master 整 个 配置 过 程 如 下 :: 
: 配置 文件 初始 化 。 

“Modules 基 础 模块 的 接 入 层 〈Web) 的 初始 化 。 

: Modules 基 础 模块 的 缓存 层 (Cache) 的 初始 化 。 

“Modules 基 础 模块 的 存储 层 (DB) 的 初始 化 。 

“ Manifests 逻 辑 初 始 化 。 


1. 配 置 文件 初始 化 


Master 配 置 文件 的 初始 化 包含 了 puppet.conf、autosign.conf 和 fileserver.conf 等 。 


1) 修改 puppet.conf 配 置 文件 。 在 运营 环境 中 为 了 尽量 避免 配置 文件 导致 的 线 上 故障 ， 笔 者 建议 在 通过 Puppet 更 新 配置 前 先 对 配置 灰 度 ， 所 以 我 们 要 打开 Puppet 的 灰 度 控制 开关 ， 也 就 是 我 们 在 第 5 
章 中 所 介绍 的 “环境 ”。 在 Master (Hostname:bj-puppet-master-1.example.com，1P:10.55.38.50) 上 的 修改 puppet.conf 主 配置 文件 ， 增 加 环境 功能 。 增 加 配置 前 先 创建 环境 的 配置 目录 。 


# mkdir 
# mkdir 
# mkdir 
# mkdir 


-p /etc/puppet/environments/{production, testing, development} 
-p /etc/puppet/environments/production/ {manifests,modules} 

-p /etc/puppet/environments/testing/{manifests,modules} 

-p /etc/puppet/environments/development/{manifests,modules} 


修改 /etc/puppet/puppet.conf 配 置 文件 。 


[production] # 线 上 环境 

manifest = /etc/puppet/environments/production/manifests/site.pp 
modulepath = /etc/puppet/environments/production/modules 
[development] # 开发 环 境 

manifest = /etc/puppet/environments/development/manifests/site.pp 
modulepath = /etc/puppet/environments/development/modules 
[testing] # 测试 环境 

manifest = /etc/puppet/environments/testing/manifests/site.pp 
modulepath = /etc/puppet/environments/testing/modules 


2) 修改 autosign.conf 配 置 文 件 。 在 生产 环境 中 ， 通 常 我 们 会 开启 Master 自 动 授权 Agent 的 证 书签 名 功能 (此 种 方式 是 在 读者 已 经 了 解 了 系统 架构 和 网 络 状况 的 情况 下 开启 ) ， 


访问 需要 授权 认证 签名 ， 手 动 方式 处 理会 影响 工作 效率 ， 所 以 需要 开启 autosign.conf 配 置 文件 功能 ， 提 升 工作 效率 。 创 建 autosign.conf 配 置 文件 ， 并 追加 “*“” 到 autosign.conf 配 置 文件 中 。 


为 大 量 的 Agent 首 次 


echo "*" > /etc/puppet/autosign.conf 


3) 修改 fileserver.conf 配 置 文件 。 它 是 Puppet 的 Fileserver， 通 常 我 们 同步 一 些 比较 大 的 配置 文件 或 软件 包 时 使 有 


Fileserver。 修 改 fileserver.conf 配 置 文件 ， 配 置 内容 如 下 : 


[files] 
path /data/puppet file/ # 在 Master 指 定 文件 存放 的 目录 
allow * # 准许 所 有 机 器 的 请 求 


由 于 整套 SSO 系 统 包含 了 很 多 软件 包 与 配置 文件 ， 所 以 笔者 建议 将 配置 文件 目录 指定 到 比较 大 的 磁盘 ， 方 便 存 储 更 多 的 配置 文件 与 软件 包 ， 并 准许 | 


@@ 注 意 ”在 修 改 puppet.conf、autosign.conf 和 fileserver.conf 配 置 文件 后 要 重启 Master 的 守护 进程 。 


2. 接 入 层 (Web) 初始 化 
SSO 系 统 接 入 层 的 作用 是 接收 各 产品 的 用 户 认证 请 求 并 转发 到 后 端 存储 进行 验证 。 在 接 入 层 比较 常用 的 Web 软 件 有 Apache、lighttpd 和 Nginx 等 。 
它 的 并 发 处 理性 能 与 其 他 软件 相 比 会 更 强 ， 也 有 很 强 的 扩展 性 。 首 先 我 们 来 创建 Nginx 模 块 的 目录 与 文件 结构 。 


局 域 网 内 的 任何 机 器 访问 这 些 配 置 文 件 。 


本 节 以 Nginx 为 例 来 介绍 55O 系 统 接 入 层 架 构 ， 


因为 


# mkdir -p /etc/puppet/environments/production/modules/nginx/ {manifests, templates} 
# tree production/modules/nginx/manifests/ 
| -- params .pp 
package .pp 
service.pp 
config.pp 
init.pp 
_ templates 
1-- nginx.conf.erb 


接着 来 看 每 个 配置 文件 的 内 容 。 


1) params.pp 用 于 设置 Nginx 的 参数 列表 。 


class nginx: :params{ 
$ng_work conf dir = "/etc/nginx/™" # 设置 Nginx 根 目录 
$ng_work connections = "1000" # 设置 Nginx 连 接 数 
$ng_ port = "80" # 设置 Nginx 访 问 端口 
$ng_fqdn = "sso.example.com" # 设置 Nginx 虚 拟 机 域名 


2) package.pp 用 于 安装 Nginx 软 件 包 。 


class nginx: :package { 
S$packages array = ['nginx', 'gd',] 
case $::operatingsystem { 
centos, fedora, rhel, redhat, centos, scientific:{ 
# 由 于 RedHat 系 列 发 行 版 本 系统 中 不 包含 Nginx 源 ,所 以 需要 我 们 通过 yumrepo 资 源 来 指定 Nginx 源 
yumrepo { "yum nginx-release": # 指定 yumrepo 的 标题 , 它 后 续 也 是 源 的 文件 名 
# $baseur1 为 Nginx 源 地 址 变量 ,其 中 地 址 包含 "$" 需 要 通过 "\ "进行 转 义 
baseurl => "http://nginx.org/packages/centos/6/\$basearch/", 
gescr => 'nginx repo', 
enabled => '1', 
gpgcheck => '0', 


} 
# 通过 package 安装 软件 包 数 组 
package { "nginx": 
ensure => present, 
# Yumrepo 为 公有 属性 (注意 首 字母 大 写 ) ,公有 属性 的 作用 是 在 确定 yumrepo 资 源 执行 成 功 的 情况 下 再 
# 安装 软件 包 
require => Yumrepo['yum nginx-release'], 
} 
}debianvubuntu: { # 如 果 是 ubuntu 发 行 版 本 ,通过 package 资 源 直 接 安 装 软件 包 数 据 组 
package { "$packages array": 
ensure => present, 
}default: { 
notify {"error":} 


} 
} 
} 


3) config.pp 用 于 从 Master 同 步 Nginx 的 配置 文件 到 Agent。 


class nginx::config( 

Sworker_processes = $::processorcount, # 通过 Factezr 收 集 Agent 硬 件 信息 设置 CPU 的 核 数 
Sworker_connections = $nginx::params::ng work connections, # 赋值 Nginx 连 接 数 
Sworker dir= Snginx::Params: # 赋值 Nginx 根 目录 
Sworker_Port= Snginx: :Params # 赋值 Nginx 端 口 
S$worker_fqdn= $nginx::params:: # 赋值 Nginx 的 虚拟 主机 域名 
) inherits nginx::params { 

# 初始 化 file 资 源 的 权限 与 用 户 组 

File { 

owner => 'root', 

group => 'root', 


mode '0644', |} 
# 通过 file 资 源 中 插入 template 函 数 , 同 步 Nginx 的 配置 文件 
file { "${nginx::params::ng work conf dir}/nginx.conf": 


ensure => file, 

content => template('nginx/nginx.conf.erb'), 
} 
} 


以 下 为 Nginx 的 模板 配置 文件 ，Nginx 配 置 模板 文件 存放 在 Master 的 /production/modules/nginx/templates/nginx.conf.erb， 读 者 只 需 关注 赋值 的 内 容 与 方法 。 


# begin 
worker processes <%= worker processes %>; # 设置 CPU 核 数 ,通常 采用 Facter 收 集 Agent 值 设置 
events { 

worker_connections <$= worker connections %>;  # 设置 Nginx 的 连接 数 
} 
http { 

include mime.types; 

default type application/octet-stream; 

sendfile on; 

keepalive timeout 65; 

server { 

listen <%= worker port %>; # 设置 Nginx 的 监 


server name <%= worker _fqdn %>;  # 设置 Nginx 的 虚 
#charset koi8-r; 
#access_log logs/host.access.log main; 
location / { 

root html; 

index index.html index.htm; 
} 
error page 500 502 503 504 /50x.html; 
location = /50x.html { 

root html; 


4) service.pp 用 于 启动 Nginx 的 守护 进程 。 


class nginx::servicel{ 


# 启动 nginx 守 护 进程 


service { "nginx": 
ensure => running, 
enable => true, 


hasstatus => true, 
hasrestart => true 
} 
} 


5) init.pp 用 于 整个 Nginx 的 安装 、 配 置 与 启动 逻辑 的 整合 。 


class nginx ( 
) inherits nginx::params { 
class { 'nginx::package':} 
class { 'nginx::config': 
# 同步 配置 文件 后 通知 nginx:server 类 重新 加 载 配 置 文件 ,注意 Class 首 字母 大 写 


notify => Class['nginx::service'], 


} 
class {'nginx::service':} 


} 


6) Nginx 模 块 配置 好 后 ， 在 site.pp 中 加 载 Nginx 的 模块 ， 测 试 是 否 正常 工作 。 


node default{ 
include nginx 


} 


通过 (Hostname:bj-access-web-nginx1.example.com，1P:10.55.38.100) 的 接 入 层 主 机 测试 整个 配置 流程 是 否 正 常 。Agent 命 令 与 输出 如 下 : 


# puppet agent --server bj-puppet-master-1.example.com --test 


在 Agent 上 通过 netstat 命 令 来 确认 Nginx 是 否 安装 成 功 。 


netstat -tnl | grep 80 
0 0 


top 0.0.0.0:80 0 LISTEN 
3. 缓 存 层 (Cache) 初始 化 
在 SSO 的 系统 架构 中 ， 缓 存 层 的 作用 是 将 经 常 访问 的 用 户 信息 以 key/values 形 式 缓存 在 内 存 中 ， 提 高 用 户 访问 数据 的 速度 ， 降 低 后 端 数据 库 的 压力 。 在 缓存 层 ， 我 们 使 用 的 是 开源 软件 Memcached ， 


它 是 一 套 分 布 式 的 高 速 缓存 系统 ， 由 LivejJournal 的 Brad Fitzpatrick 开 发 ， 目 前 被 许多 网 站 使 
作 系统 。 安 装 后 可 以 通过 以 下 命令 启动 Mecached 的 守护 进程 。 


。Memcached 安 装 与 配置 非常 简单 ， 它 支持 UNIX/Linux 系 列 操作 系统 ， 同 时 也 支持 微软 的 Windows 系 列 操 


# memcached -d -m 500 -u root -p 12000 -c 256 


如 以 上 参数 表示 ，-d 指 以 守护 进程 方式 启动 ，-m 指 定 使 用 内 存 的 大 小 ; -u 指 定 启动 的 用 户 ;-p 指 定 Mecached 以 Socket 方 式 启动 在 12000 端 


外 ，Memcached 还 有 其 他 参数 ， 如 表 17-2 所 示 。 


的 监听 ; -< 指定 最 大 接收 并 发 数 。 除 了 上 边 这 些 参数 


表 17-2 Memcache 其 他 参数 列表 


参 


-p <num> TCP 监听 端口 


-U <num> 


-s <file> UNIX socket 监听 路 径 ， 不 支持 网 络 
UNIX socket 访问 掩 码 ,八进制 (默认 
-a <mask> 
为 0700 ) 
-] <IP> 监听 的 服务 器 IP 地 址 (默认 为 0.0.0.0 ) 
-d 守护 进程 模式 启动 


-I 最 大 限度 利用 核心 文件 限制 


-U <username> 运行 memcached 的 用 户 


-P <file> 设置 保存 pid 文件 
Po key+value+flags 最 小 分 配 空间 (默认 
为 48 ) 
指定 key 和 IDs 的 分 陋 符 default is ":" 
-D <char> (colon). 如 果 指 定 此 选项 ， 统 计 信 息 收 集 
自动 开启 
-有 R 每 个 事件 的 最 大 请 求 数 (默认 为 20 ) 
-b 设置 积压 队列 数 限制 (默认 为 1024 ) 
分 配给 每 个 slab 页 (默认 为 1MB， 最 


小 1KB, 最 大 128MB ) 


下 面 通过 Puppet 来 配置 Memcached 模 块 。 


1) 创建 如 下 目录 结构 。 


数 | 人 合 义 | 


(默认 为 11211 端口 ) 


UDP 监听 端口 (默认 为 11211 端口 ) 


参 数 


-Dl <num> 


含 广 
最 大 的 内 存 使 用 (默认 64 MB ) 
内 存 耗 尽 返 回 错误 
最 大 并 发 连接 数 (默认 为 1023 ) 


各 


1 1 1 1 1 


-C <DUID> 


锁定 所 有 分 页 内 存 


输出 警告 和 错误 信息 

同时 打印 客户 端 请 求 和 返回 信息 

打印 内 部 状态 转换 信息 

打印 memcached 和 libevent 版 本 信息 

块 大 小 增长 倍数 (默认 为 1.25 ) 

如 果 有 效 ， 尝 试 使 用 大 内 存 页 。 增 加 内 存 
页 大 小 可 以 减少 失误 的 TLB 数量 ， 提 高 性 能 


V 


< 


-VVV 


-f <factor> 


使 用 的 线程 数量 (默认 为 4) 


-t <num> 


全 | 


禁止 使 用 CAS 


绑 定 协议 - one of ascii、binary or auto( 默认 ) 


# mkdir -p /etc/puppet/environments/production/memcached/ {manifests, templates} 
# tree production/modules/memcached/manifests/ 

|-- params .PP 

|-- package.pp 

|-- service.pp 

|== init.pe 


2) 通过 params.pp 定 义 Memcached 的 启动 参数 。 


class memcached: :params{ 


Smem = "256" ”# 使 用 内 存 大 小 

$user = "root™ # 启动 守护 进程 的 账户 
Sport = "11200" # 启动 守护 进程 的 端口 
$connection = "1000" # 连接 数 


3) 通过 package.pp 安 装 Memcached 软 件 包 。 


class memcached: :packagei 
# 安装 memcached 
Package { "memcached": 
ensure => present, 
} 
} 


4) 通过 server.pp 启 动 Memcached 守 护 进程 。 这 里 启动 分 为 两 种 情况 ， 一 种 是 默认 启动 Memcached 守 护 进 程 ， 它 会 将 端口 监听 在 11211 上 。 另 一 种 是 自 定义 启动 Memcached， 通 过 exec 资 源 可 以 自 
定义 设置 启动 参数 ， 自 定期 启动 参数 存放 在 parms.pp 文 件 中 。 先 来 看 默认 启动 方式 。 


class memcached: :service{ 
# 启动 memcached 守 护 进 程 
service { "memcached": 
ensure => running, 
enable => true, 
hasstatus => true, 
hasrestart => true 


所 用 Agent 机 器 型 号 不 一 致 ， 内 存 大 小 自然 也 不 相同 。 在 启动 Memcached 守 护 进程 过 程 中 ， 不 同型 号 的 机 器 采用 相同 的 内 存 大 小 显然 不 合理 的 ， 这 时 可 以 通过 Facter 来 收集 Agent 的 内 存 信息 ， 并 计算 
每 台 机 器 内 存 剩余 容量 ， 然 后 用 剩余 容量 乘 以 50% 将 所 得 值 赋 给 Memcached 守 护 进程 供 其 使 用 ， 这 就 是 自 定义 启动 方式 (为 什么 要 取 50%? 其 实用 户 可 以 随意 调整 这 个 百分比 ， 但 是 建议 在 50% 左 右 或 以 
下 ， 因 为 操作 系统 需要 一 定 富余 的 内 存 ， 如 果 过 高 可 能 会 导致 操作 系统 异常 ) 。 


# 为 了 方便 内 存 间 差 值 的 数学 运算 , 通过 regsubst 函 数 将 Facter 内 存 变量 中 的 GB 单 位 蔡 换 为 空 

Smem free= regsubst ($memoryfree," GB","") 

# 计算 50% 内 存 大 小 

Smem = Smem free * 0.5 

# 通过 exec 资 源 启动 自 定义 参数 的 Memcached 守 护 进程 

exec { 'memcached': 
command => "/usr/bin/memcached -d -m $mem -u $memcache:;params::user -p $memcache:;params::port -c $memcache:;params::connection", 
refreshonly => true, 


} 


5) 通过 init.pp 对 整个 Memcached 进 行 安装 、 配 置 与 启动 逻辑 的 整合 。 


class memcached ( 

) inherits memcached: :params{ 
# 安装 Memcached 软 件 包 
class {'memcached: :package':} 
# 启动 Memcached 守 护 进程 
class { 'memcached::service': 
} 

} 


6) Memcached 模 块 配置 完成 后 ， 在 site.pp 中 加 载 Memcached 模 块 ， 测 试 是 否 正常 工作 。 


# puppet agent --server=bj-puppet-master-1.example.com --test 


7) 在 Agent 上 通过 netstat 命 令 来 确认 Memcached 是 否 安装 成 功 。 


netstat -tnl | grep 11211 
万 0 D0 0.0.0.0:11211 Q 00.03* LISTEN 


4 数据 层 (DB) 初始 化 


存储 层 我 们 使 用 了 MySQL 关 系 型 数据 库 来 存储 SSO 系 统 相关 信 息 。 为 了 支持 更 多 的 访问 量 ， 通 常 使 用 MySQL 主 /从 来 提供 高 性 能 、 扩 展 性 与 高 可 用 性 。 下 面 来 创建 MySQL 主 /从 模块 的 配置 目录 结构 。 


# mkdir -~p /etc/puppet/environments/production/modules/nginx/ {manifests, templates} 
# tree production/modules/mysqld/manifests/ 
| 1-- Params .PP 

| 1-- package.pp 
| Sservice.pp 
上 I-- config.pp 
1 

1 


I- init.pp 

_ templates 
|-- master.conf.erb 
1-- slave.conf.erb 


1) 通过 params.pp 定 义 MySQL 的 自 定 义 启动 参数 。 


class mysqld: :params{ 

$master conf dir = "/etc/my.cnf" # 配置 文件 根 目 录 

# 主 的 my.cnf 配 置 

Smaster_server id = "l"  # MySQL 主 /从 ID 

Smaster bin 1og = "mysql-bin.1og" # MySQL 的 binlog 

S$master db sso = "sso" # 间 步 的 数据 库 名 

Smaster_ ip = "10.55.38.40" # Mysql 主 /从 模式 中 只 能 有 一 个 服务 器 作为 主 , 此 处 设置 主 服务 器 IP 
# 从 的 my.cnf 配 置 
S$slave id = "2" # MySQL 主 /从 id (建议 大 于 MySoL 在 一 主 多 从 情况 下 ,通过 哈 希 设置 ITP 对 应 的 ID) 


S$master User = "root" # 设置 从 访问 Master 的 账户 

Smaster password = "root" # 设置 从 访问 Master 的 密码 
Smaster port = "3306" # 设置 从 访问 Master 的 端口 

Smaster connect retry = "10" # 设置 从 访问 Master 的 重 试 次 数 


S$master do db = "sso" # 设置 从 同步 主 的 库 名 


2) 通过 package.pp 安 装 MySQL 的 软件 包 。 


class mysqld: :package{ 
package { "mysql-server": 
ensure => present, 
} 
} 


3) 通过 config.pp 配 置 MySQL 主 /从 的 软件 包 。 


# MySQL 主 配置 同步 
class mysqld: :config aster( 
$1l0g bin = $mysqld: :params: :master bin log, # 设置 binlog 
$server jd = $mysqld::params: :master server jd # 设置 serverid 
$master db_sso= $mysqld::params: :master db sso, # 设置 同步 库 名 
) inherits nginx::params { 
# 设置 配置 文件 权限 
File { 
Owner => 'root', 
group => 'root', 
mode => '0644', } 
# 同步 主 的 my.conf 配 置 文件 
file{ "${mysqld::params::master conf dir}": 
ensure => file, 


content => template('mysqld/master.cnf.erb'), 
} 


} 
# MySQL 从 配置 同步 
class mysqld: :config: :slave( 
$slave id = $mysqld::params::slave id, 
Smaster_ host = $mysqld: :params: :master ip, 
Smaster_ User = $mysqld: :params: :master user, 
Smaster password = $mysqld: :params: :master password, 
$master port= $mysqld::params: :master port, 
$master connect retry= $mysqld: :params: :master connect retry, 
Smaster do db = $mysqld::params::master do _ db, 
) inherits nginx::params { 
File { 
owner => 'root', 
group => 'root', 
mode => '0644', } 
file{ "${mysqld::params::master conf dir}": 
ensure => file, 
content => template('mysqld/slave.cnf.erb'), 
} 
} 


4) 通过 service.pp 启 动 MySQL 守 护 进程 。 


class mysqld: :service{ 


service { "mysqld": 
ensure => running, 
enable => true, 


hasstatus => true, 
hasrestart => true 


5) 通过 init.pp 对 整个 MySQL 进 行 安装 、 配 置 与 启动 逻辑 的 整合 。 


class mysqld( 
)inherits mysqld: :params{ 
# MySQL 安 装 
class {'mysqld::package':} 
# 判断 MySQL 主 /从 IP, 并 根据 IP 同 步 配 置 文件 
if $ipaddress 一 $mysqld::params: :master ip{ 
class {"mysqld: :config: :master' : 
notify => Class['mysqld: :service']， 


} 
# 首次 安装 配置 MySQL 后 设置 账户 的 密码 
# exec{'/usr/bin/mysqladmin -uroot password "root"':} 
}else{ 
class {'mysqld::config::slave': 
notify => Class['mysqld: :service'], 


# exec{'/usr/bin/mysqladmin -uroot password "root"':} 
LE: 

class {'mysqld::service':} 

} 


6) MySQL 模 块 配置 完成 后 ， 在 site.pp 中 加 载 MySQL 模 块 ， 并 通过 Agent 的 主 MySQL (Hostname:bj-db-master-1.example.com,， IP 10.55.38.40) 和 “(Hostname:bj-db-savle- 
1.example.com，IP10.55.38.41) 测试 是 否 正常 工作 。 


# puppet agent --server=bj-puppet-master-1.example.com --test 


7) 在 Agent 上 通过 netstat 命 令 来 确认 MySQL 主 /从 是 否 安 装 成 功 。 


netstat -tnl | grep 3306 
tcP 0 U0.0.03305 二 LISTEN 


5.Manifests 逻 辑 初始 化 


我 们 已 经 创建 了 SSO 架 构 的 基础 层 、 缓 存 层 和 数据 层 ， 它 们 都 是 Modules 基 础 模块 的 分 支 。 本 节 将 通过 Manifests 来 整合 整个 Modules 基 础 模块 的 逻辑 。 整 合 逻 辑 包含 以 下 几 个 部 分 : 


“site.pp 文 件 初始 化 。 


. 各 逻辑 层 创建 usefr 00 业务 账号 。 


“ 各 逻辑 层 就 近 解 析 。 


“ 发布 前 先 灰 度 ， 再 上 线 。 


1) site.pp 文 件 中 包含 了 整个 SO 系统 的 业务 逻辑 ， 逻 辑 中 包含 了 不 同 的 IDC 应 该 匹配 哪些 节点 的 配置 、 哪 些 是 节点 的 共有 配置 、 哪 些 是 节点 的 私有 配置 、 当 匹配 不 到 节点 时 的 异常 情况 应 该 如 何 处 理 
等 。 整 个 逻辑 ， 笔 者 使 用 了 Puppet 清 单方 式 来 管理 ， 当 然 读 者 也 可 以 选择 之 前 我 们 掌握 的 ENC 方 式 ， 也 是 非常 方便 的 ， 这 里 不 再 次 介绍 。 编 辑 site.pp 清 单 ， 具 体 如 下 : 


# 继承 基础 模块 节点 
node base{ 
notify {"base":} 
include common 
include route 


} 

# 逻辑 层 节 点 策略 配置 ,匹配 来 自 北京 或 者 上 海 的 web 服务 器 

node /^ (bj|sh)-web-nginx-\d\.example\.com$/ inherits base{ 
notify {"from: *-web-nginx-* ":} 
include nginx 


} 

# 缓存 层 节 点 策略 配置 ,匹配 来 自 北京 或 者 上 海 的 Cache 服 务 器 

node / (bj |sh) -cache-memcache-NdN .example\.comS$/ inherits base{ 
notify {"from: *-cache-memcache-* ":} 
include memcached 


二 

# 存储 层 节点 策略 配置 ,匹配 来 自 北京 或 者 上 海 的 DB 服务 器 

node /^ (bj|sh)-db-master-\d\.example\.com$/ inherits base{ 
notify {"from: *-db-mysql-—* ":} 
include mysqld 


} 
# 默认 节点 策略 配置 
node default{ 
notify{"default not mastch":} 


} 


2) 创建 urer_00 业 务 账号 的 配置 。 


# cat /etc/puppet/environments/production/common/manifest/common.pp 
class common{ 
user{ "user 00": 
uid => "501", 
gid => "501", 
} 
} 


3) 就 近 解 析 功 能 。 我 们 可 以 通过 DNS 来 实现 也 可 以 通过 Puppetx 对 IP 范 上 
功能 。 


# cat /etc/puppet/environments/production/route/manifest/route.pp 
class routel{ 
匹配 来 自 北京 的 Agent, 设置 访问 Master 为 北京 的 IP 
if $ipaddress =~ /10\.38\.55\.\gd/ { 
host { ' bj-puppet-master-1.example.com ': 
ip => '10.55.38.50°', 
ensure => present, 


} 
匹配 来 自 上 海 的 Agent, 设置 访问 Master 为 上 海 的 IP 
Jelsif $ipaddress =~ /10\.49\.55\.\d/{ 
host { ' sh-puppet-master-1 .example.com 
ip => '10.49.38.50', 
ensure => present, 
} 
Jelsef{ 
# 默认 策略 ,设置 没有 匹配 到 的 IP 访 问 北京 的 Master 
notify{"default ip not match"} 
host { ' bj-puppet-master-1.example.com ': 
ip => '10.55.38.50', 
ensure => present, 


二 


# 


T 


} 
} 
} 


进行 判 电 ， 根 据 判断 的 结果 指定 Host 的 方式 来 实现 最 终 的 就 近 解 析 功 能 。 


这 里 笔者 通过 host 资 源 指定 Host 的 方式 达到 就 近 解 析 


目前 我 们 已 经 为 SSO 系 统 完成 了 一 整套 的 manifests 和 modules 的 配置 ， 配 置 包括 了 Web 
和 testing (测试 环境 ) 目录 中 ， 让 整套 SSO 系 统 实现 灰 度 的 功能 。SSO 最 终 的 工作 流程 如 图 17-4 所 示 。 


Production ( 线 上 环境 ) 


接 人 层 (WEB ) 


J 


弧 


存 层 (Cache) 


图 


17-4 Puppet 环 


在 Agent 上 通过 --environment 参 数 来 访问 development 和 testing。 


层 、Cache 


catalog 


屋 和 DB 层 的 清单 配置 功能 。 最 后 我 们 将 这 一 整套 的 清单 配置 目录 复制 到 development (开发 环境 ) 


testing (测试 环境 ) 


境 访问 流程 图 


# puppet --server bj-puppet-master-1.example.com --environment=development --test 访问 天 
# puppet --server bj-puppet-master-1.example.com --environment=testing --test 访问 测试 环 
# puppet --server bj-puppet-master-1.example.com --test 不 加 environment 参 数 , 默 认 访问 线 上 


F 发 环境 
境 
境 (production) 


第 18 章 ”Puppet 快 速 构建 企业 内 部 网 实践 


读 到 这 里 想必 大 家 对 Puppet 已 经 有 了 深入 的 了 解 ， 不 过 到 目前 为 止 我 们 仍然 是 以 独立 的 方式 


上 ， 去 做 更 有 价值 的 事情 。Puppet 正 好 为 我 们 提供 了 这 样 一 系列 的 辅助 工 
块 免费 仓库 ， 由 Puppet 官 方 提供 平台 ， 所 有 的 Puppet 
Puppet Forge 的 基本 使 
即 用 ， 不 需 独立 或 重复 的 


开发 Puppet 基 础 模块 代码 。Example42 已 经 帮 有 我 们 开发 好 了 基础 模块 的 代码 ， 


看 复 地 开发 Puppeti 
标 就 是 自动 化 运 维 ， 而 要 想 实 现 这 个 目标 就 需要 靠 类 似 Puppet 这 样 的 工具 来 协助 我 们 。 自 动 化 运 维 与 工具 两 者 相辅相成 ， 工 
电 ， 帮 我 们 完成 重复 的 工作 ， 这 


的 代码 并 应 用 到 线 上 系统 ， 还 是 没有 真正 掌握 Puppet 最 精华 的 部 分 。 其 实 系统 的 最 终 目 
可 以 使 我 们 从 重复 劳动 中 解脱 出 来 ， 将 更 多 的 精力 放 在 对 系统 优化 与 产品 优化 
就 是 基于 Puppet 的 Puppet Forge 与 Example42。Puppet Forge 是 一 款 开源 的 基础 模 


这 些 辅助 工 ， 


发 爱好 者 可 以 上 传 基础 模块 代码 ， 并 分 享 给 了 他 人 使 用 。 笔 者 曾 在 第 5 章 提 及 Puppet Forge， 为 了 本 章 案例 介绍 的 承接 ， 本 章 中 笔者 将 再 介绍 一 遍 
。 然 后 介绍 Example42 (官方 网 站 为 www.example42.com， 下 称 Example42) 。Example42 与 Puppet Forge 一 样 ， 也 是 一 款 开源 的 Puppet 基 础 模块 仓库 ， 它 的 优势 在 于 即 装 


并 充分 考虑 了 性 能 与 各 操作 系统 发 行 版 本 下 的 应 


场景 ， 在 实现 系统 自动 化 运 维 的 同时 为 系统 管理 员 


节约 了 大 量 的 时 间 成 本 。 本 章 首先 从 Puppet 初 始 化 开始 介绍 ， 因 为 通常 企业 内 部 网 禁止 访问 外 网 ， 所 以 本 章 通 过 源码 方式 编译 安装 Puppet; 接着 介绍 Puppet 的 辅助 工具 Example42 与 Puppet Forge， 看 
它们 是 如 何 安装 与 应 用 的 ; 最 后 结合 Puppet 初 始 化 与 辅助 工具 来 介绍 如 何 快速 构建 企业 内 部 网 。 


18.1 ”Puppet 初 始 化 


笔者 曾 在 第 3 章 介绍 过 Puppet 的 安装 过 程 ， 为 了 文章 的 完整 性 ， 本 节 笔 者 再 次 介绍 Puppet 的 源码 编译 安装 。 本 节 安 装 使 用 Puppet 3.6.2 版 本 作 介 绍 案例 ， 其 实 本 书 案例 多 以 Puppet 2.7.25 作 为 案例 演 
示 ， 笔 者 希望 在 掌握 Puppet 2.7 的 基础 上 ， 也 能 更 多 的 了 解 Puppet 3 版 本 知识 与 内 容 ， 它 们 使 用 方式 与 工作 原理 是 一 样 的 ,但 Puppet 3 引入 了 一 些 新 的 功能 ，Puppet 3.6.2 与 第 3 章 的 Puppet 2.7.25 安 装 
也 有 一 些 细微 的 区 别 ， 需 要 读者 注意 。 笔 者 将 Puppet 3.6.2 的 安装 分 为 以 下 5 步 。 


1) 安装 Ruby。 同 以 往 一 样 ， 我 们 使 用 Puppet 中 兼容 性 比较 好 的 Ruby1.8.7 版 本 ， 安 装 步骤 如 下 。 


下 载 Ruby1.8.7 版 本 

wget http://ftp.ruby-lang.org/pub/ruby/ruby-1.8.7-p358.zip 
unzip ruby1.8.7 

cd ruby1.8.7 

本 py 站 容光 目 当 ey 5 

./configure --prefix=/usr/local/puppet 

稍 译 与 安装 

make && make install 

通过 export 命 令 导 入 ruby 命 令 所 在 的 系统 目录 

export PATH=$PATH:/usr/local/puppet/bin/:/usr/local/puppet/sbin/ 
Puppet 官 方 推荐 安装 以 下 辅助 软件 包 , 辅助 软件 包 通 常 是 Puppet 运 行 或 使 用 时 的 库 文件 
ruby -r base64 -e "puts:installed" 

ruby -~r cgi -e "puts:installed" 

ruby -r digest/md5 -e "puts:installed" 

ruby -r etc -e "puts:installed" 

ruby -r fileutils -~e "puts:installed" 

ruby -~ ipaddr -e "puts:installed" 

ruby -r openssl -e "puts:installed" 

ruby -r strscan -e "puts:installed" 

ruby -r syslog -e "puts:installed" 

ruby -r uri -e "puts:installed" 

ruby -r webrick -e "puts:installed" 

ruby -r webrick/https -e "puts:installed" 

ruby -r xmlrpc/client -e "puts:installed" 


非 井 井 井 间 井 井 间 井 井 井 井 间 井 间 间 井 间 井 间 井 井 间 间 


在 通过 源码 安装 附加 软件 包 过程 中 ，ruby-r webrick/https-e 经 常会 报 openssl(LoadError) 的 错误 。 


# ruby -r webrick/https -~e "puts:installed" 
/usr/local/services/puppet/1ib/ruby/1.8/webrick/ssl.rb:9:in ‘require': no such file to load -- openssl (LoadError) 


这 一 错误 是 由 于 我 们 没有 安装 openss| 软 件 包 所 导致 的 。Puppet 在 连接 过 程 中 使 用 了 SSL 协 议 ，SSL 协 议会 用 到 openssl 软 件 包 。 如 果 没 有 在 机 器 上 安装 openssl 包 ， 可 以 通过 以 下 方式 安装 : 


# wget http://www.openssl.org/source/openss1-1.0.1h.tar.gz 
# tar -xvzf openssl-1.0.1h.tar.gz 
# cd openssl-1.0.1h && ./confile -fPIC && make && make install 


安装 openssl 后 ， 再 次 进入 Ruby 源 码 包 的 ext 目 录 ， 安 装 Ruby 的 openss| 扩 展 。 方 法 如 下 : 


# cd ruby/ext/openss1/ 
# ruby extconf.rb --with-openssl-include=/usr/local/ssl/include/ --with-openssl-lib=/usr/local/ssl/1lib 
# make && make instal 


成 功 openss| 扩 展 后 ， 再 次 安装 https 包 ， 报 错 的 信息 消失 。 


# ruby -r webrick/https -e "puts:installed" 


2) 下 载 并 安装 Facter。 


# wget http://downloads.puppetlabs.com/facter/facter-2.0.1.tar.gz 
# tar -xvzf facter-2.0.1.tar.gz 
# cd facter-2.0.1 && ruby install.rb 


3) 与 Puppet 2.7 的 安装 有 一 些 区 别 ，Puppet 3 安装 时 需要 预先 安装 Hiera， 否 则 会 报错 。 下 载 Hiera (下 载 地 址 : http://downloads.puppetlabs.com/hiera/) 并 安装 它 。 


# wget http://downloads.puppetlabs.com/hiera/hiera-1.3.4.tar.gz 
# tar -xvzf hiera-1.3.4.tar.gZ 
# cd hiera && ruby install.rb 


Hiera 是 一 个 “ 键 / 值 ”的 查询 工具 ， 安 装 它 的 目的 是 更 好 地 配置 节点 ， 避 免 做 重复 的 工作 。 关 于 Hiera 的 更 多 信息 可 以 参考 官方 网 站 http://docs.puppetlabs.com/#hierahiera1。 


4) 下 载 并 安装 Puppet 3.6.2 版 本 。 


# wget http://downloads.puppetlabs.com/puppet/puppet-3.6.2.tar.gz 
# tar -xvzf puppet-3.6.2.tar.gz 
# cd puppet-3.6.2 && ruby install.rb --full 


安装 Puppet 后 ， 不 要 急于 删除 Puppet 的 源码 目录 ， 因 为 我 们 可 以 在 源码 目录 中 找到 在 不 同 发 行 版 本 下 的 配置 文件 模板 ， 如 puppet.conf、auth.conf、tagmail.conf 和 fileserver.conf 文 件 等 ， 可 以 通 
过 find 系 统 命令 找到 它们 。 


# find puppet-3.6.2/ -name "*.conf™ 
./examples/hiera/etc/puppet .conf 
./conf/tagmail.conf 
./conf/fileserver.conf 

./conf/auth.conf 
./lib/puppet/util/libuser.conf 
/ext/ips/puppet .conf 
./ext/gentoo/puppet/fileserver.conf 
./ext/gentoo/puppet/puppet .conf 
./ext/debian/fileserver.conf 
./ext/debian/puppet .conf 
./ext/redhat/fileserver.conf 
./ext/redhat/puppet .conf 
./ext/rack/example-passenger-vhost .conf 
/spec/fixtures/unit/reports/tagmail/tagmail passers.conf 


./spec/fixtures/unit/reports/tagmail/tagmail email.conf 
./spec/fixtures/unit/reports/tagmail/tagmail failers.conf 


这 些 配置 文件 的 作用 已 经 在 第 4 章 详细 介绍 过 ， 这 里 不 再 介绍 。 我 们 将 puppet.conf、auth.conf、tagmail.confpfileserver.conf 配 置 文件 复制 到 Puppet 配 置 目录 (默认 /etc/puppet/) 下 。 配 置 方法 


如 下 : 


./conf/tagmail.conf /etc/puppet/ # Puppet 邮 件 发 生 配置 文件 

./conf/fileserver.conf /etc/puppet/ # Puppet 文 件 服务 器 配置 文件 
./conf/auth.conf /etc/puppet/ # Puppet 认 证 配置 文件 
./ext/redhat/puppet.conf /etc/puppet/ # Puppet 主 配置 文件 


8888 


5) Master 的 基础 配置 。 首 先 在 /etc/puppet/puppet.conf 中 追加 Puppet 的 环境 配置 ， 追 加 方法 如 下 : 


[production] # 线 上 环境 

manifest = /etc/puppet/environments/production/manifests/site.pp 
modulepath = /etc/puppet/environments/production/modules 
[development] # 开发 环境 

manifest = /etc/puppet/environments/development/manifests/site.pp 
modulepath = /etc/puppet/environments/development/modules 
[testing] # 测试 环境 

manifest = /etc/puppet/environments/testing/manifests/site.pp 
modulepath = /etc/puppet/environments/testing/modules 


创建 这 些 环境 的 目录 。 


# mkdir -p /etc/puppet/environments/{production, testing, development} 
# mkdir -p /etc/puppet/environments/production/{manifests,modules} 

# mkdir -p /etc/puppet/environments/testing/{manifests,modules} 

# mkdir -p /etc/puppet/environments/development/ {manifests,modules} 


接着 追加 “*” 到 /etc/puppet/autosign.conf 配 置 文件 中 ， 让 Master 可 以 自动 授权 Agent 的 访问 。 


echo "*" > /etc/puppet/autosign.conf 


最 后 启动 Master 守 护 进 程 。 由 于 我 们 使 用 了 个 性 化 的 安装 ，Puppet 提 供 的 启动 脚本 并 不 适用 这 种 安装 方式 ， 所 以 需要 通过 以 下 方式 启动 Master 的 守护 进程 。 


# /usr/local/puppet/bin/puppet master --daemonize >> /tmp/puppet master. 


1og 28>1 & 


启动 Puppet 守 护 进 程 后 ， 不 要 忘记 再 次 通过 netstat-tnl|grep 8140 命 令 来 确认 Puppet 的 守护 进程 的 端口 是 否 存在 。 如 果 存 在 则 表明 已 经 成 功 的 启动 Puppet， 如 果 不 存 在 则 表明 启动 Puppet 失 败 ， 可 


以 通过 启动 命令 追加 --versose 和 --debug 人 参数 方式 来 定位 启动 失败 原因 。 


18.2 ”Puppet 辅 助 工具 


18.2.1 Puppet Forge 


我 们 再 来 回顾 一 下 Puppet Forge。Puppet Forge 是 一 个 免费 的 modules 基 础 模块 仓库 ， 它 已 经 集成 在 Puppet 源 码 中 ， 所 以 无 须 再 次 安装 。Puppet Forge 可 以 通过 Web 或 puppet modules 命 令 来 获 


取 这 些 基础 模块 。 我 们 不 但 可 以 从 Puppet Forge 获 取 所 需要 的 基础 模块 ， 也 可 以 将 自 


己 开 发 好 的 基础 模块 发 布 到 网 上 ， 分 享 给 他 人 使 F 


础 模块 的 方法 。 


。 以 下 为 Puppet Forge 的 puppet modules 命 令 方 式 获取 与 创建 基 


1) 创建 标准 Puppet 模 块 。 当 我 们 使 用 了 Puppet 一 段 时 间 后 ， 如 果 想 将 自己 的 通用 Puppet 模 块 分 享 给 别人 ， 可 以 通过 “puppet module generate+ 模 块 名 ”的 方式 来 创建 标准 的 模块 目录 结构 ， 并 通 
过 Puppet Forge (https://forge.puppetlabs.com/) 注册 账号 ， 上 传 基础 模块 分 享 给 他 人 。 以 下 为 创建 Puppet 标 准 模块 的 方式 。 


# puppet module generate example-nginx 
Puppet uses Semantic Versioning (semver.org) to version modules. 
What version is this module? [0.1.0] (模块 版 本 号 ) 


证 wrote this module? [example] (模块 名 称 ) 
Wt license does this module code fall under? [Apache 2.0] (是否 遵循 ARpache2.0 协 议 ) 
Re would you describe this module in a single sentence? (模块 描述 ) 
We is this module's source code repository? (模块 的 源码 库 ) 
ee can others go to learn more about this module? (获取 更 多 的 帮助 信息 》 
ihere can others go to file issues about this module? (问题 的 反馈 渠道 ) 
一 -> 
a A ne 
"name": "example-nginx", 


"proion™s vO.Lsd 
"author": "example", 
"summary": null, 
"license": "Apache 2.0", 
"msource": "mm 
"project page": null, 
"issues url": null, 
"dependencies": [ 
{ 
"version range": ">= 1.0.0", 
"name": "puppetlabs-stdlib" 


2) 查找 基础 模块 。 通 过 “puppet module search+ 基 础 模块 名 ”的 方式 来 查找 基础 模块 。 查 找到 的 基础 模块 可 以 通过 “puppet module install+ puppetlabs- 基 础 模块 名 ”的 方式 进行 安装 。 


# 查找 基础 模块 

# puppet module search apache 

# 安装 基础 模块 

# puppet module search puppetlabs-apache 


3) 升级 基础 模块 。 


# puppet module upgrade puppetlabs-apache 


4) 删除 基础 模块 。 


# puppet module uninstall puppetlabs-apache 


当 我 们 掌握 Puppet 后 ， 通 常 可 以 使 用 Puppet Forge 来 查询 与 安装 基础 模块 ， 这 些 基础 模块 在 安装 与 管理 系统 软件 包 时 已 经 充分 考虑 了 性 能 与 各 发 行 版 本 的 兼容 性 等 ， 为 我 们 节约 了 很 多 宝贵 的 时 间 ， 
同时 提升 了 工作 的 效率 。 


18.2.2 Example42 


与 Puppet Forge 一 样 ，Example42 也 是 一 个 免费 的 基础 模块 仓库 ,但 与 Puppet Forge 不 同 的 是 Example42 可 以 一 次 性 将 所 有 的 基础 模块 克隆 到 本 地 ， 方 便 我 们 使 用 。 
1.Example42 对 操作 系统 发 行 版 本 的 支持 

Example42 是 Puppet 的 基础 模块 仓库 ， 以 下 是 Example42 支 持 的 系统 发 行 版 本 。 当 前 Example42 基 础 模块 支持 常见 的 操作 系统 发 行 版 本 。 

: RedHat/Centos 5 和 6 

:Scientific Linux 6 

“ Debian6 和 7 

-Ubuntu 10.04 和 12.04 

“ OpenSuse 11 和 12 (部 分 基础 模块 支持 ) 

“ Suse Enterptise Linux 11 (部 分 基础 模块 支持 ) 

“ Solaris 11 (部 分 基础 模块 支持 ) 

另外 ， 很 多 基础 模块 扩展 支持 以 下 系统 发 行 版 本 : 

: Amazon Linux 3 

“ Fedora 


* Mint 


2.Example42 自 身 版 本 


目前 Example42 分 为 三 阶段 版 本 ， 它 们 分 别 如 下 : 
: OLD 模块 (版 本 1.x) ， 此 版 本 支持 Puppet 2.6 之 前 的 版 本 ， 由 于 Puppet 2.6 之 前 的 版 本 比较 老 ， 所 以 这 里 笔者 并 不 推荐 大 家 使 用 。 
* NextGen 模 块 (版 本 2.x) ， 此 版 本 支持 Puppet 2.6 之 后 的 版 本 ,我 们 可 以 在 Git 的 submodules 中 找到 它 ， 推 荐 使 用 。 


“StdMod 模 块 ( 版 本 3.x) example42 模 块 下 的 演化 ， 坚 持 stdmod 命 名 标准 。 此 版 本 支持 Puppet 2.7 版 本 或 更 高 的 Puppet 3.x 版 本 ， 推 荐 使 用 。 


3.Example42 安 装 


Example42 的 安装 非常 简单 。 目 前 Example42 已 经 将 代码 托管 到 了 Github[l"] 上 ， 我 们 可 以 通过 Git 命 令 将 Example42 的 代码 克隆 到 本 地 。 克 隆 Example42 两 个 版 本 的 方式 如 下 : 


# 方式 1: 克隆 OLD 模块 

# git clone --recursive -b 1.0 git://github.com/example42/puppet-modules.git 
# 方式 2: 克隆 NextGem 和 stdMod 模 块 (推荐 ) 

# git clone --recursive git://github.com/example42/puppet-modules.git 


笔者 使 用 方式 2， 将 所 有 的 基础 模块 克隆 到 本 地 的 puppet-modules 目 录 中 如 图 18-1 所 示 。 


[root@localhost puppet-modules]# 1s 

00_exampled2scripts common lighttpd oracle puppet Users 
activeng concat link pan puppi vagrant 
2pache controltier logrotate php ralls varnish 
apt cron 1 lsb phpsyslogng FEDIE 1 virtualbox 
autofs dashboard img nallscanner Dortaap repo THYAre 


backup dhcpd al]X postfix resolver spanassassin vsftpd 
bind dovecot 1 ncollective postgresql rootmail Sqlgre7 ¥ordpress 
clanav ] momt povwerdns rpabuild squid xinetd 
cobbler jenk1 nonitor psad rsync squirrelaail Ym 
collectd LICENSE 。 amin psick rsyslog ssh Zip 


18-1 Example42 模 块 目 录 


加 注意 “如果 Git 命 令 找 不 到 ， 需 要 通过 yum install git 方 式 来 进行 安装 Git 的 环境 。 


除了 Github，Example42 已 加 入 了 Puppet 的 Forge 项 目 ,我 们 也 可 以 通过 Puppet modules 命 令 找到 Example42 的 相关 模块 并 进行 安装 。 


# 查找 example42 的 模块 


# puppet module search example42 
# 联 棋 example42 -nginx 模块 
# puppet module install example42-nginx 


[由 ”Github 官 方 网 站 http://github.com， 它 是 开源 代码 库 的 管理 系统 ，Github 目 前 拥有 140 多 万 开发 用 户 。 随 着 越 来 越 多 的 应 用 程序 被 转移 到 了 云 上 ，Github 已 经 成 为 管理 软件 开发 以 及 发 现 已 有 代码 的 首选 方 
法 。 


18.3 ”快速 构建 企业 内 部 网 


18.3.1 ”企业 内 部 网 介绍 


某 公 司 主要 从 事 手 机 网 络 视频 和 视频 广告 等 业务 ， 目 前 公司 人 数 200 人 左右 ， 由 一 名 开发 工程 师 兼 网 络 管理 员 来 负责 系统 的 维护 工作 。 由 于 移动 互联 网 的 快速 发 展 ， 公 司 老 板 看 到 了 商机 ， 并 认识 到 了 
现 有 公司 网 络 架构 的 缺陷 与 丰 足 ， 所 以 老板 提出 要 求 ， 需 要 对 现 有 系统 架构 进行 升级 以 满足 后 续 企 业 的 快速 发 展 。 兼 职 的 网 络 管理 员 设计 出 了 一 个 网 络 架 构 并 最 终 得 到 了 老板 的 认可 。 从 成 本 角度 出 发 ， 在 
不 招聘 新 人 的 情况 下 ， 通 过 Svn+ Puppet 架 构 完成 了 企业 内 部 网 的 构建 ， 如 图 18-2 所 示 。 
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图 18-2 ”企业 内 部 网 


从 以 上 的 架构 图 我 们 可 以 了 解 到 访问 流程 。 公 司 的 产品 主要 是 移动 网 络 视频 与 广告 ， 移 动 端 流量 通过 公司 网 络 防火 墙 进入 公司 内 部 网 ， 内 部 网 分 两 个 网 段 ， 两 个 网 段 分 别 通 过 路 由 器 连接 。 网 段 1 为 公司 
自 建 IDC 网 络 ， 存 放 了 公司 的 所 有 服务 器 。 网 段 2 为 办 公 网 络 ， 包 含 公司 内 部 员工 与 一 些 提供 基础 设施 的 服务 器 。 为 了 降低 服务 器 的 成 本 ， 网 络 管理 员 还 将 部 分 服务 器 作 了 混合 部 署 。 企 业内 部 网 结构 如 表 
18-1 所 示 。 


表 18-1 企业 内 部 网 结构 


站 
自 建 IDC 网 络 
防火 墙 192.168.1.2 
web 192.168.1.7 
web/mail 192.168.1.8 
cache 192.168.1.17 
cache 192.168.1.18 
db 192.168.1.37 
db 192.168.1.38 
ftp 192.168.1.42 
办 公 网 络 

dns 192.168.2.2 
samba 192.168.2.3 
puppet/svn 192.168.2.4 
ntp/dhcp/ftp 备份 服务 器 / 包 管理 192.168.2.5 

办 公 网 络 192.168.2.50 — 192.168.2.250 


在 本 书 第 17 章 Puppet 管 理 SSO 实 践 中 笔者 曾 介绍 了 Hostname 的 用 途 。Hostname 在 Puppet 海 量 服务 器 管理 中 起 到 了 很 大 的 作用 。 但 是 为 什么 本 节 只 使 用 了 两 个 Hostname (*.work.example.com 和 
*idc.example.com) ? 这 里 主要 按照 网 络 功能 来 划分 Hostname， 当 然 也 可 以 按照 第 17 章 的 方式 将 Hostname 分 得 更 细 。 但 是 从 表 18-1 中 了 解 到 每 个 服务 器 的 功能 比较 单一 ， 而 且 部 分 服务 器 为 了 节约 成 本 
对 服务 器 的 混用 进行 了 支持 。 假 如 通过 Hostname 来 划分 ， 并 不 能 区 分 混用 的 情况 ， 而 且 划 分 得 更 细 ， 会 提高 网 络 管理 员 的 工作 量 ， 所 以 在 这 种 服务 器 比较 少 且 功能 比较 单一 的 情况 下 ， 通 过 网 络 功能 划分 
Hostname， 并 在 后 续 的 Puppet 代 码 中 ， 通 过 IP 匹 配 的 形式 来 管理 整个 企业 内 部 网 ， 工 作成 本 会 更 低 。 


18.3.2 ”构建 企业 内 部 网 


目前 网 络 管理 员 已 经 搭建 好 了 Puppet， 并 安装 了 Example42 的 基础 模块 。 本 节 笔者 介绍 企业 内 部 网 的 Manifests 的 逻辑 配置 与 个 性 化 配置 。 通 常 在 配置 系统 前 我 们 都 需要 创建 系统 的 业务 账号 ， 通 过 业 
务 账号 启动 系统 的 服务 ， 提 高 系统 安全 。 另 外 还 要 设置 所 有 服务 器 的 Host， 并 指定 Host 到 Master 的 |P， 最 后 才 是 安装 系统 的 服务 。 而 这 些 配 置 逻 辑 都 可 以 通过 Puppet 的 Manifests 来 完成 。 以 下 为 企业 内 
部 网 的 Manifests (/etc/puppet/manifests/site.pp) 配置 逻辑 的 3 个 部 分 : 


1) 创建 基础 节点 (base) 。 将 网 段 1 (*.work.example.com) 与 网 段 2(*.idc.example.com) 公共 配置 部 分 ， 如 创建 业务 账号 、 组 和 指定 Host 到 Master， 抽 象 到 此 节点 。 


2) 创建 idc.example.com (网 段 1) 和 work.example.com (网 段 2) ， 村 


x 


据 服务 器 的 角色 安装 软件 。 


3) 创建 默认 节点 (default) ， 设 置 默认 策略 。 


# Puppet Manifests 

# 第 一 部 分 

node base{ 
# 创建 user_00 组 
group{'user 00': 
ensure => present, 
gid => '507', 

} 

# 创建 user_00 业 务 账 号 

user{'user 00': 
ensure => present, 
uid => '507', 
gid => '507', 


} 
# 创建 user_00 业 务 账 号 的 宿主 目录 
file {'/home/user 00': 

ensure => directory, 

group => '800', 

owner => '800°', 

require => User['test 00'], 


} 
# 指定 所 有 Agent 的 Host 为 Master 所 在 的 服务 器 IP 
host { 'puppet .work.example.com' : 

ip => '192.168.2.4', 

ensure => present, 


} 


} 

# 第 二 部 分 

node /*/idc.example.com inherits base{ 
# 安装 防火 墙 
if ($ipaddress == "192.168.1.2" ){ 


include iptables 


} 

# Web 服 务 器 ,安装 PHP 与 Apache 

if ($ipaddress == "192.168.1.7" ) or ($ipaddress == "192.168.1.8" ){ 
include php 
include apache 


} 
# 邮件 服务 器 ， 安 装 Posifix (postfix 是 Wietse Venema 在 IBM 的 GPL 协 议 之 下 开发 的 MITA 邮件 传输 代理 ) 软件 ) 


if ($ipaddress == "192.168.1.8" ){ 
include posifix 
} 
# 安装 数据 库 
if ($ipaddress == "192.168.1.37" ) or ($ipaddress == "192.168.1.38" ){ 


include mysql 


} 
# Ftp 服 务 器 ,安装 vsfptd (vsftpd 是 very secure FTP daemon 的 缩写 ,安全 性 是 它 的 一 个 最 大 的 特点 ) 
if ($ipaddress == "192.168.1.8" ){ 
include vsftpd 
} 
} 
# 第 三 部 分 
node /*/work.example.com inherits base{ 


# Dns 服 务 器 ,安装 BIND (BIND (Berkeley Internet Name Domain) 是 现今 互联 网 上 最 常 使 用 的 DNS 服 务 器 软件 ,使 用 BIND 作 为 服务 器 软件 的 DNS 服 务 器 约 占 所 有 DNS 服 务 器 的 90%) 
if ($ipaddress 一 "192.168.2.2" ) { 


include bind 


} 
# Puppet 服 务 器 与 Svn 版 本 控制 服务 器 ,安装 Puppet 与 svn 
if ($ipaddress == "192.168.2.4" ) { 

include puppet 

include svn 


} 
# 混用 服务 器 : 
# 1)ntp (Network Time Protocol (NTP) 是 用 来 使 计算 机 时 间 同 步 化 的 一 种 协议 , 它 可 以 使 计算 机 对 其 服务 器 或 时 钟 源 〈 如 石英 钟 、GPS 等 ) 做 同步 化 , 它 可 以 提供 高 精准 度 的 时 间 校 正 〈LAN 上 与 标准 间 差 小 于 1 毫秒 , WAN 上 几 十 : 
# 2) dhcpd (DHCP (Dynamic Host Configuration Protocol, 动 态 主机 配置 协议 ) 是 一 个 局 域 网 的 网 络 协议 , 使 用 UDP 协议 工作 , 主要 的 用 途 是 给 内 部 网 络 或 网 络 服务 供应 商 自动 分 配 IP 地 址 ,dhcpd 是 一 款 实现 DHCP 协 议 的 开源 车 
if ($ipaddress == "192.168.2.5"” ) { 
include ntp 
include vsftpd 
include dhcpd 
} 
} wy 
# 第 四 部 分 
node default{ 
notify {"this is default node":} 


end 


以 上 为 Manifests 的 逻辑 配置 ， 针 对 某 个 服务 的 个 性 化 配置 ， 如 为 Apache 增 加 vhost 和 为 PHP 增 加 pear 模 块 等 ， 这 些 配置 Ekample42 也 已 经 为 我 们 考虑 到 ， 只 需 增 加 辅助 参数 即 可 。 如 在 IP 192.168.1.7 
上 追加 vhost 和 pear 这 两 个 配置 操作 如 下 : 


if ($ipaddress == "192.168.1.7" ) { 
# 安装 PHP 
include php 
# 安装 pear 模 块 
include php: :Pear 
# 安装 Apache 
include apache 
# 追加 增加 vhos .example.com 虚 拟 主机 配置 
apache: :virtualhost { "vhost.example.com": templatefile => "virtualhost.conf.erb" } 
} 


Master 配 置 好 后 就 可 以 在 Agent 来 测试 整个 配置 了 。 具 体 方法 如 下 : 


# puppet agent --server puppet .work.example.com --test 


